Technologie
SAP a publié son ensemble de correctifs de sécurité pour août 2024, corrigeant 17 vulnérabilités, dont une faille critique d’authentification qui pourrait permettre à des attaquants distants de compromettre entièrement le système.
La vulnérabilité, identifiée sous le nom de CVE-2024-41730 et notée 9.8 selon le système CVSS v3.1, est un bug de « vérification d’authentification manquante » affectant les versions 430 et 440 de la plateforme SAP BusinessObjects Business Intelligence, exploitable dans certaines conditions.
Selon la description fournie par le fournisseur, « dans SAP BusinessObjects Business Intelligence Platform, si l’authentification unique est activée sur l’authentification d’entreprise, un utilisateur non autorisé peut obtenir un jeton de connexion via un point de terminaison REST. »
« L’attaquant peut compromettre entièrement le système, entraînant un impact élevé sur la confidentialité, l’intégrité et la disponibilité. »
La deuxième vulnérabilité critique (note CVSS v3.1 : 9.1) abordée cette fois-ci est CVE-2024-29415, une faille de falsification de requête côté serveur dans les applications développées avec SAP Build Apps antérieures à la version 4.11.130.
Cette faille concerne une faiblesse dans le package ‘IP’ pour Node.js, qui vérifie si une adresse IP est publique ou privée. Lorsqu’une représentation octale est utilisée, elle reconnaît à tort ‘127.0.0.1’ comme une adresse publique et globalement routable.
Cette vulnérabilité existe en raison d’une correction incomplète d’un problème similaire identifié comme CVE-2023-42282, qui a laissé certains cas vulnérables aux attaques.
Parmi les autres correctifs mentionnés dans le bulletin de SAP pour ce mois-ci, quatre sont classés comme « haute gravité » (note CVSS v3.1 : 7.4 à 8.2) et sont résumés comme suit :
- CVE-2024-42374 – Problème d’injection XML dans le service Web d’exportation SAP BEx Web Java Runtime. Il affecte les versions BI-BASE-E 7.5, BI-BASE-B 7.5, BI-IBC 7.5, BI-BASE-S 7.5 et BIWEBAPP 7.5.
- CVE-2023-30533 – Faiblesse liée à la pollution de prototype dans SAP S/4 HANA, spécifiquement dans le module Manage Supply Protection, impactant les versions de bibliothèque de SheetJS CE inférieures à 0.19.3.
- CVE-2024-34688 – Vulnérabilité de déni de service (DOS) dans SAP NetWeaver AS Java, affectant spécifiquement le composant Meta Model Repository version MMR_SERVER 7.5.
- CVE-2024-33003 – Vulnérabilité liée à une divulgation d’informations dans SAP Commerce Cloud, touchant les versions HY_COM 1808, 1811, 1905, 2005, 2105, 2011, 2205 et COM_CLOUD 2211.
Mettez à jour vos systèmes immédiatement
Étant donné que SAP est le plus grand fournisseur d’ERP au monde et que ses produits sont utilisés dans plus de 90 % des entreprises figurant sur la liste Forbes Global 2000, les hackers cherchent constamment des failles critiques d’authentification qui pourraient leur permettre d’accéder à des réseaux d’entreprise de grande valeur.
En février 2022, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a exhorté les administrateurs à corriger les vulnérabilités graves dans les applications commerciales SAP pour prévenir le vol de données, les ransomwares et les interruptions des opérations critiques.
Des acteurs malveillants ont exploité des systèmes SAP non corrigés entre juin 2020 et mars 2021 pour infiltrer des réseaux d’entreprise dans au moins 300 cas.
