Onapsis signale des failles critiques dans SPA Hana

Onapsis, un spécialiste de la sécurité des applications d’entreprise, observe une expansion continue des risques pour les installations SAP. Onapsis a publié récemment des rapports de sécurité mettant en garde contre des failles dans les configurations SAP HANA et SAP Trex. Une faille classée comme critique permet par exemple d’obtenir des privilèges de compte élevés, d’avoir un accès illimité à des données d’entreprise et de manipuler arbitrairement des informations provenant de bases de données, notamment des données sensibles sur les clients et les collaborateurs.

Les failles annoncées par Onapsis en collaboration avec SAP le 21 juillet représentent un risque potentiel pour plus de 10 000 clients SAP et opérateurs de différentes versions de SAP HANA. Une faille critique dans les systèmes SAP HANA permet par exemple de lancer à distance une attaque par force brute pour usurper des privilèges élevés et obtenir un accès illimité à n’importe quelle information d’entreprise. En exploitant d’autres failles, les hackers peuvent aussi manipuler des entrées du journal d’audit, dissimuler des attaques et accéder à des données ou les altérer. Les notes de sécurité de SAP pour le mois de juillet identifient de nouvelles failles critiques qui peuvent être exploitées pour lancer une attaque par déni de service contre SAP Solution Manager ou SAP Sybase.

SAP HANA, un système à problèmes

SAP HANA, élément clé de l’offre cloud de SAP, est une plateforme de base de données et d’applications nouvelle génération. Elle permet la réalisation de transactions, l’analyse prédictive d’informations ainsi que l’analyse et le traitement de données textuelles ou spatiales. Les entreprises peuvent ainsi réagir en temps réel. Une faille classée comme critique permet aux cyber-attaquants d’accéder à des informations stratégiques pour l’entreprise concernant par exemple ses clients et ses salariés, les calculs de prix, la chaîne d’approvisionnement, la veille stratégique, les budgets, la planification et les prévisions.

« Les rapports de sécurité que nous avons communiqués à nos clients le 21 juillet décrivent des risques d’un genre nouveau. Les principales failles que les hackers peuvent exploiter sont en effet souvent sous-estimées, car les conséquences d’une faille technique ne sont pas toujours claires », souligne Sebastian Bortnik, responsable de la recherche chez Onapsis. « Les attaques peuvent aussi se dérouler en cachette : par exemple, une des failles critiques que nous avons identifiée génère d’abord un message d’erreur et, ce faisant, transmet aux hackers des informations sensibles sur l’environnement informatique touché, l’utilisateur ou les données qui sont gérées sur l’ordinateur visé. »

Le détournement de clic ou clickjacking

Le détournement de clic est un mécanisme d’attaque apparu récemment dans l’environnement SAP. Si ce piratage réussit, les clients ou partenaires qui visitent un site Web attaqué se retrouvent à cliquer sur des liens ou des boutons cachés et non sur les options de menu qu’ils pensent activer. Les clics déclenchent à la place des actions indésirables sur leur ordinateur, indique encore Onapsis.

Go to Source


bouton-devis