Sélection de la langue

Alerte - Vulnérabilité touchant SAP NetWeaver Java

Numéro : AL20-019
Date : 14 juillet 2020

AUDITOIRE

La présente alerte s’adresse aux professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés. Les destinataires de la présente information peuvent redistribuer celle-ci au sein de leurs organismes respectifs.

OBJET

Une alerte a pour objet de prévenir les destinataires relativement à des cybermenaces qui ont été relevées récemment et qui pourraient peser sur les fonds d’information électronique. Elle vise également à leur fournir un complément d’information en matière de détection et d’atténuation. Sur demande, le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) offre également aux destinataires une assistance additionnelle concernant la teneur de la présente alerte.

VUE D’ENSEMBLE

SAP NetWeaver Application Server Java, un composant principal de plusieurs produits SAP, contient une vulnérabilité qui pourrait être exploitée pour obtenir le contrôle complet de certaines applications SAP.

DÉTAILS

Le 14 juillet 2020, SAP a publié une mise à jour de sécurité pour corriger une vulnérabilité critique (CVE 2020-6287) touchant l’assistant de configuration LM du composant SAP NetWeaver Application Server Java. Un auteur malveillant non authentifié pourrait exploiter cette vulnérabilité pour prendre le contrôle d’applications SAP en créant des utilisateurs SAP hautement privilégiés afin de voir, de modifier ou d’extraire des renseignements de nature délicate, ou afin d’entraver les processus opérationnels mis en œuvre par le système.

Les applications SAP suivantes pourraient être vulnérables :

  • Enterprise Resource Planning;
  • Product Lifecycle Management;
  • Customer Relationship Management;
  • Supply Chain Management;
  • Supplier Relationship Management;
  • NetWeaver Business Warehouse;
  • Business Intelligence;
  • NetWeaver Mobile Infrastructure;
  • Enterprise Portal;
  • Process Orchestration/Process Integration;
  • Solution Manager;
  • NetWeaver Development Infrastructure;
  • Central Process Scheduling;
  • NetWeaver Composition Environment;
  • Landscape Manager.

Il convient entre autres de noter les cas (confirmés en réalisant des recherches dans les sources ouvertes) où l’interface Web du serveur d’application NetWeaver est exposée sur une interface accessible depuis l’externe.

MESURES RECOMMANDÉES

Le Centre pour la cybersécurité recommande aux organismes qui exploitent les environnements SAP de consulter la note de sécurité 2934135 (ouverture de session requise) de SAP et d’appliquer le plus tôt possible les correctifs énoncés, dans un premier temps, aux serveurs vulnérables qui sont connectés à Internet et, dans un deuxième temps, aux serveurs internes vulnérables.
Par ailleurs, les administrateurs devraient surveiller étroitement les systèmes pour détecter la présence de comptes utilisateur nouveaux, non prévus ou non reconnus.

RÉFÉRENCES

Bulletin de sécurité du Centre pour la cybersécurité sur les notes de publication des correctifs de sécurité de SAP
https://www.cyber.gc.ca/fr/avis/bulletin-de-securite-sap-8

Portail à jour logicielles de SAP (ouverture de session requise)
https://launchpad.support.sap.com/

Publication d’Onapsis sur la vulnérabilité RECON touchant le composant NetWeaver Application Server Java
https://www.onapsis.com/recon-sap-cyber-security-vulnerability (en anglais seulement)

Alerte AA20-195A de la Cybersecurity & Infrastructure Security Agency (États-Unis)
https://us-cert.cisa.gov/ncas/alerts/aa20-195a (en anglais seulement)
 
NOTE AUX LECTEURS
Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications. Il constitue l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Le personnel du Centre pour la cybersécurité agit à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique et travaille étroitement avec les ministères, les propriétaires et exploitants d’infrastructures essentielles, les entreprises canadiennes et des partenaires internationaux pour intervenir en cas d’incident de cybersécurité ou pour atténuer les conséquences en découlant. Ce faisant, il offre conseils et soutien d’expert et coordonne les communications d’information et l’intervention en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.

Date de modification :