Selon une analyse du laboratoire de recherche Onapsis, les risques augmentent pour les installations SAP et Oracle, en particulier avec des failles dans les configurations SAP Hana, SAP Trex et dans les applications Oracle. Ces failles permettraient à des hackers d’accéder à distance aux applications.
Une faille classée comme critique permet par exemple d’obtenir des privilèges de compte élevés, d’avoir un accès illimité à des données d’entreprise et de manipuler arbitrairement des informations provenant de bases de données, notamment des données sensibles sur les clients et les collaborateurs.
Onapsis a également rédigé plusieurs rapports sur la mise à jour critique publiée par Oracle en juillet, qui atteint un nombre record de 276 patches. Outre SAP, le niveau de menace augmente en effet constamment pour les solutions Oracle : des failles permettent des attaques de type cross-site scripting ou détournement de clic. Ces mécanismes ciblent aussi des visiteurs de sites Web externes tels que des clients ou des partenaires.
Des failles critiques pour SAP Hana
Une faille critique dans les systèmes SAP Hana permet par exemple de lancer à distance une attaque par force brute pour usurper des privilèges élevés et obtenir un accès illimité à n’importe quelle information d’entreprise. En exploitant d’autres failles, les hackers peuvent aussi manipuler des entrées du journal d’audit, dissimuler des attaques et accéder à des données ou les altérer.
Les notes de sécurité de SAP pour le mois de juillet 2016 identifient de nouvelles failles critiques qui peuvent être exploitées pour lancer une attaque par déni de service contre SAP Solution Manager ou SAP Sybase.
Concernant SAP Hana, une faille classée comme critique permet aux cyber-attaquants d’accéder à des informations stratégiques pour l’entreprise concernant, par exemple, ses clients et ses salariés, les calculs de prix, la chaîne d’approvisionnement, la veille stratégique, les budgets, la planification et les prévisions.
« Les principales failles que les hackers peuvent exploiter sont en effet souvent sous-estimées, car les conséquences d’une faille technique ne sont pas toujours claires », souligne Sebastian Bortnik, responsable de la recherche chez Onapsis.
« Les attaques peuvent aussi se dérouler en cachette : par exemple, une des failles critiques que nous avons identifiée génère d’abord un message d’erreur et, de fait, transmet aux hackers des informations sensibles sur l’environnement informatique touché, l’utilisateur ou les données qui sont gérées sur l’ordinateur visé. »
Le détournement de clic ou clickjacking
Le détournement de clic est un mécanisme d’attaque apparu récemment dans l’environnement SAP. Si ce piratage réussit, les clients ou partenaires qui visitent un site Web attaqué se retrouvent à cliquer sur des liens ou des boutons cachés et non sur les options de menu qu’ils pensent activer. Les clics déclenchent à la place des actions indésirables sur leur ordinateur.
Applications Oracle, des passoires ?
Onapsis a aussi constaté une aggravation des risques pour Oracle au vu du nombre de patches publiés en juillet 2016 lors de la mise à jour critique du fabricant de logiciels. Cette mise à jour compte en effet 276 patches, soit deux fois plus que la mise à jour précédente, publiée en avril 2016. Les patches de juillet corrigent notamment 15 failles que le laboratoire de recherche Onapsis avait signalées à Oracle.
Ces failles concernaient 49 produits Oracle différents. Le danger encouru par les clients Oracle est aggravé par le fait que 60 % des failles peuvent être exploitées à distance : les hackers peuvent ainsi lancer des attaques à partir de n’importe quel ordinateur en réseau. Onze des failles révélées par le laboratoire de recherche Onapsis concernant la suite Oracle E-Business permettent de recourir à du cross-site scripting, une technique grâce à laquelle les hackers peuvent transmettre du code malveillant au visiteur d’un site Web.