L’éditeur de logiciels d’entreprise SAP a publié ses mises à jour de sécurité d’avril 2023 pour plusieurs de ses produits, qui incluent des correctifs pour deux vulnérabilités de gravité critique qui affectent l’agent de diagnostic SAP et la plateforme SAP BusinessObjects Business Intelligence.

Au total, SAP a publié 24 notes, dont 19 concernent de nouveaux problèmes d’importance variable, et cinq sont des mises à jour de bulletins précédents.

Les trois problèmes les plus critiques résolus cette fois-ci sont :

  • CVE-2023-27267 : Validation insuffisante des entrées et problème d’authentification manquante affectant le pont OSCommand de SAP Diagnostics Agent, version 720, permettant à un attaquant d’exécuter des scripts sur des agents connectés et de compromettre complètement le système. (Note CVSS v3.1 : 9,0)
  • CVE-2023-28765 : Vulnérabilité de divulgation d’informations affectant la plateforme SAP BusinessObjects Business Intelligence (Promotion Management), versions 420 et 430, permettant à un attaquant disposant de privilèges de base d’accéder au fichier lcmbiar et de le déchiffrer. Cela permettrait à l’attaquant d’accéder aux mots de passe des utilisateurs de la plateforme et de prendre le contrôle de leurs comptes pour effectuer des actions malveillantes supplémentaires. (Note CVSS v3.1 : 9,8)
  • CVE-2023-29186 : faille de traversée de répertoire affectant les versions 707, 737, 747 et 757 de SAP NetWeaver, permettant à un attaquant de télécharger et d’écraser des fichiers sur le serveur SAP vulnérable. (Note CVSS v3.1 : 8,7)

Les 11 failles de sécurité restantes divulguées dans le dernier bulletin de sécurité de SAP concernent des vulnérabilités de gravité faible à moyenne.

Bien que ces problèmes ne soient généralement pas considérés comme une priorité pour les correctifs, ils sont toujours exploités dans les attaques, en particulier dans le cadre de chaînes d’attaque complexes, ils doivent donc être pris en charge néanmoins.

Correctif rapide important
Les pirates sont toujours à la recherche de failles de gravité critique dans des produits largement déployés comme ceux de SAP, qui sont monnaie courante dans les grands réseaux d’entreprise.

SAP est le plus grand fournisseur d’ERP au monde, détenant 24 % du marché mondial avec 425 000 clients dans 180 pays. Plus de 90 % du Forbes Global 2000 utilise ses produits ERP, SCM, PLM et CRM.

En février 2022, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a exhorté les administrateurs à corriger un ensemble de vulnérabilités graves affectant les applications métier SAP afin d’empêcher le vol de données, les attaques de rançongiciels et la perturbation des processus et opérations critiques.

En avril 2021, des acteurs de la menace ont été observés attaquant des failles corrigées dans des systèmes SAP non corrigés pour accéder aux réseaux d’entreprise.

Par conséquent, il est d’une importance cruciale pour les administrateurs système SAP d’appliquer les correctifs de sécurité disponibles dès que possible.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *