Gestion Intégrée des Risques
La gestion intégrée des risques correspond à l’ensemble des pratiques qui vise à améliorer la performance d’une organisation et la prise de décision grâce à une vision holistique des risques.
Identity and Access Management
L'IAM ou Gestion de l’identité et des accès consiste à attribuer les accès aux données et systèmes appropriés dans les délais nécessaires pour garantir l’activité et ce de façon sécurisée.
Services de cybersécurité & sécurité des applications
Le volume de données critiques transitant au sein du système d’information est en constante augmentation, source d’opportunités pour les cybers criminels. Nous vous aidons à détecter et à vous prémunir contre ces attaques par un par un renforcement de la sécurité de vos systèmes.
Service Managé Bedrock
Un accompagnement évolutif et une expertise à la demande qui s'intègrent parfaitement à vos opérations existantes.
À propos de Turnkey
Un groupe d'individus passionnés ayant pour objectif commun d'aider les principales entreprises du monde à adopter les meilleures pratiques de sécurité et de gestion des risques.
Partenaires
Le réseau de partenaires stratégiques de Turnkey est composé d'organisations sélectionnées qui complètent nos propres capacités, nous permettant de relever tous les défis liés à la sécurité SAP, au GRC (Gestion des Risques et de la Conformité) ou à l'identité.
Responsabilité Sociale de l'Entreprise
Nous sommes déterminés à être des acteurs du changement grâce à notre Plan d'Action pour le Climat, en promouvant la diversité dans nos lieux de travail, et plus encore.
Contactez-nous
Nous délivrons nos services dans le monde entier. Découvrez quel bureau est le plus proche de vous et entrez en contact avec eux.
Carrières
Turnkey rassemble les esprits les plus brillants pour assurer la protection des plus grandes entreprises. Si vous êtes passionné par les défis et que vous osez bousculer le statu quo, vous allez adorer vivre cette expérience unique au sein de notre équipe.
Webinaires & livre blanc
Retrouvez en accès libre sur cette base documentaire, l’ensemble de nos webinars, guides, présentations et autres contributions autour de la sécurité IT.
Blogs
Lisez les derniers articles de nos experts sur la GRC et la gestion des risques.
Les publications dans la presse
Turnkey, nos retours experts et nos succès couverts par la presse.
Les évènements
Nous participons régulièrement ou sommes invités à prendre la parole dans des évènements spécialisés autour de la gestion des risques et de la sécurité. Retrouvez nos prochaines interventions et n’hésitez pas à nous rejoindre.
Nos succès
Chez Turnkey, nous mettons au cœur de notre culture d’entreprise la satisfaction client, en cherchant à dépasser chaque fois que possible les attentes.
15 mai 2023

Les vulnérabilités les plus fréquentes dans votre environnement SAP

La sécurité des systèmes SAP suscite une préoccupation croissante pour les entreprises. Les vulnérabilités dans ces systèmes peuvent avoir des conséquences dévastatrices sur la confidentialité, l'intégrité et la disponibilité des données de l'entreprise.

Certaines de ces vulnérabilités sont considérées comme critiques et nécessitent une attention particulière, comme les CVE (Common Vulnerabilities and Exposures). Dans cet article, nous allons nous pencher sur les vulnérabilités les plus couramment ciblées dans les environnements d'application SAP.

 

Vulnérabilités SAP non corrigées

Les éditeurs de logiciels, tels que SAP, publient régulièrement des mises à jour pour répondre aux nouvelles menaces et vulnérabilités dans leurs applications. SAP informe ses clients de ces mises à jour via des notes de sécurité, publiant 196 d'entre elles en 2022, un chiffre en constante augmentation. 

Selon une étude d'Onapsis, de nombreuses vulnérabilités dans les systèmes SAP sont considérées comme critiques et permettent aux pirates informatiques d'accéder à l'application ou au système d'exploitation, d'élever leurs privilèges ou de compromettre les systèmes. Les vulnérabilités CVE-2020-6287 et CVE-2020-6207, identifiées par Onapsis et SAP, ont été exploitées par des pirates informatiques au cours des dernières années. De nombreux exploits pour ces vulnérabilités sont accessibles au public, certains disponibles sur GitHub. Parmi les vulnérabilités les plus critiques se trouvent CVE-2020-6287 et CVE-2022-22536.

Dans notre exemple nous allons utiliser la CVE-2020-6287, nous pouvons chercher sur GitHub un exploit

image-png-May-15-2023-02-25-25-5482-PM

Bien que les technologies d'intelligence artificielle (IA) soient utiles pour détecter et prévenir les vulnérabilités dans les systèmes SAP, elles peuvent également être utilisées à des fins malveillantes. Les pirates informatiques peuvent exploiter des IA pour automatiser le processus de recherche de vulnérabilités dans les systèmes SAP, notamment en utilisant le traitement du langage naturel pour comprendre les descriptions des CVE et les documents techniques liés à ces vulnérabilités.

Exemple de requêtes avec ChatGPT

image-png-May-15-2023-02-25-56-5343-PM

Nous pouvons récupérer le contenue de la requête HTTP malveillante directement au sein de GitHub

image-png-May-15-2023-02-26-13-9909-PM

Pour rester informé des vulnérabilités liées à SAP, il est recommandé de lire régulièrement les notes de sécurité de SAP, ainsi que de suivre le catalogue des vulnérabilités exploitables connues de CISA. Actuellement, dix vulnérabilités affectant SAP sont répertoriées dans ce catalogue.

La table CWBNTMSG permet de vérifier si une note sécurité a été appliqué à un environnement SAP

Ici nous allons vérifier si la note sécurité 2986980 figure dans notre système

image-png-May-15-2023-02-26-47-1246-PM

Aucune correspondance de cette note sécurité dans environnement alors que celle-ci est sortie en janvier 2021

La CVE-2021-21468 est liée à la note de sécurité mentionnée précédemment

La CVE-2021-21468 est une vulnérabilité qui permet d'appeler un module fonction sans effectuer de contrôle d'autorisation. Si cette vulnérabilité est exploitée avec succès, elle peut permettre à un attaquant de lire l'intégralité de la base de données. Pour exploiter cette faille, un attaquant peut invoquer la fonction à distance via le protocole RFC.

En effet celle-ci est accessible à distance.

image-png-May-15-2023-02-27-30-0796-PM

Pour pouvoir exploiter le module fonction, il est nécessaire de lui fournir des valeurs correspondant aux informations que l'on recherche.

On va ici préciser les valeurs pour pouvoir récupérer les valeurs hachées des différents mots de passe

image-png-May-15-2023-02-27-57-3697-PM

On obtient le mot de passe haché de chaque utilisateur SAP

image-png-May-15-2023-02-28-13-2588-PM

La récupération de la valeur de hachage du mot de passe peut faciliter une attaque par dictionnaire pour récupérer le mot de passe en clair. Pour corriger cette vulnérabilité, il est crucial d'appliquer les mises à jour et correctifs de sécurité publiés par SAP. Il est également important de vérifier la configuration correcte du pont RFC entre les environnements SAP et de restreindre utilisateur distant afin qu’il ne puisse pas accéder à la transaction qui permet exploitation de cette vulnérabilité

Vulnérabilités dans le code SAP personnalisé

Les organisations personnalisent souvent leur code d'application SAP pour répondre à leurs besoins spécifiques, mais il est crucial de vérifier régulièrement ce code personnalisé pour détecter les failles potentielles. 

Les vulnérabilités les plus critiques incluent les injections de commandes ABAP, de commandes du système d'exploitation et d'OSQL, car elles peuvent permettre une compromission totale du système. SAP a également signalé d'autres failles de développement de code, telles que la redirection d'URL et le manque de vérification de contenu lors des téléchargements HTTP, ainsi que l'accès en lecture et en écriture aux données sensibles dans les bases de données. 

Les failles liées au code de développement SAP présentent un risque accru d'exploitation interne car elles peuvent être exploitées avec un utilisateur et un niveau d'accès approprié.

Encore une fois nous pouvons nous aider des Intelligence Artificielle pour la création de notre code.

Création de code en ABAP pour redirection URL grâce à ChatGPT

image-png-May-15-2023-02-29-11-0684-PM

Pour prévenir les vulnérabilités liées au code personnalisé dans les applications SAP, il est recommandé d'utiliser des outils de sécurité comme ceux fournis par SAP - SAP Code Vulnerability Analyzer (CVA), le SAP Enterprise Threat Detection (ETD), SAP Security Scanner ou d’autres outils du marché.

Il est important de noter que ces outils ne garantissent pas une sécurité complète, car il est toujours possible que des vulnérabilités restent inconnues d’où l’importance d’assurer la bonne gouvernance des équipes et des pratiques de développement. 

Sources;

https://sec-consult.com/vulnerability-lab/advisory/critical-vulnerabilities-in-sap-application-server-and-platform/

https://securitybridge.com/sap-patchday/sap-security-patch-day-january-2021/

https://chat.openai.com/c/77bfa32c-b6c1-48ec-a0be-50484119132f

https://www.sap.com/france/index.html?url_id=auto_hp_redirect_france

https://onapsis.com/blog/sap-development-system-critical-entry-point-attacks

https://www.cisa.gov/search?g=CVE-2021-21468

https://chat.openai.com/