D’importantes vulnérabilités sur SAP HANA

Dans un billet de blog, Onapsis détaille 21 vulnérabilités tout juste découvertes et affectant toutes les applications basées sur SAP HANA, déployées en local comme en mode Cloud. Parmi elles, neuf sont qualifiées de critiques, et six sont liées à la conception même de la plateforme de calcul en mémoire de SAP et dont la remédiation « nécessite des changements de configuration ». Faute quoi, « des attaquants non authentifiés pourrait prendre le contrôle complet des systèmes SAP HANA vulnérables, jusqu’à voler, effacer ou modifier des informations métiers, et faire tomber la plateforme pour interrompre des processus métiers ». Dans son billet, Onapsis souligne que « c’est la première fois » que des vulnérabilités aussi critiques, et en aussi grand nombres, sont identifiées pour la plateforme de SAP.

Plusieurs d’entre elles concernent l’interface TrexNet : « par défaut, toutes les installations de SAP HANA jusqu’à sa version SPS7 sont livrées avec une interface TrexNet ouverte sur le réseau externe » ; au-delà, l’interface n’est pas ouverte sur l’extérieure mais « n’implémente aucun mécanisme de chiffrement ni d’authentification ». Ou presque : comme le relève Onapsis, l’authentification SSL apparaît avec SPS10, mais nécessite « des efforts de configuration additionnels ». Sans ceux-ci, les systèmes HANA restent vulnérables.

Par ailleurs, Onapsis relève des failles permettant d’exécuter à distance des commandes sans authentification préalable, sur le moteur HANA XS et le composant HANA MDS, « jusqu’à conduire potentiellement à une compromission complète ». Un point d’autant important à surveiller que « les informations stockées sur des systèmes connectés à Internet pourraient être exposées à n’importe quel attaquant pouvant accéder aux systèmes HANA via un navigateur Web ».

Via l’interface Web toujours, faillir à appliquer les correctifs nécessaires pourrait permettre à un tiers malveillant d’accéder aux traces techniques des systèmes HANA exposés, jusqu’à y collecter des mots de passe d’utilisateurs.

Onapsis indique avoir travaillé avec SAP pour aider l’éditeur à corriger ces vulnérabilités. Ce dernier a publié les bulletins de sécurité correspondants à l’intention de ses clients.