Vulnérabilités dans les produits SAP
Date de publication :
De multiples vulnérabilités ont été découvertes dans plusieurs produits SAP, suite de progiciels de gestion intégré. Un attaquant distant exploitant ces vulnérabilités peut causer un déni de service, contourner des politiques d’authentification, obtenir des informations sensibles, exécuter du code arbitraire, élever son niveau de privilèges ou encore obtenir et modifier des données présentes en base de données.
CVE-2020-1938 [Score CVSS v3 : 9.8] : SAP Liquidity Management for Banking est impacté par la vulnérabilité “Ghostcat” de son composant Apache Tomcat. Un attaquant distant ayant accès à un connecteur AJP peut obtenir des informations sensibles, voire exécuter du code arbitraire si l’utilisation de Tomcat pour ce logiciel permet l’envoi de fichiers.
CVE-2020-6265 [Score CVSS v3 : 9.8] : Une vulnérabilité a été découverte dans SAP Commerce and SAP Commerce Datahub. Un attaquant distant exploitant cette vulnérabilité peut contourner les politiques d’authentification mises en place via l’utilisation d’identifiants programmés en dur dans le logiciel.
CVE-2020-6264 [Score CVSS v3 : 8.6] : Une vulnérabilité de type fuite d’informations a été découverte dans SAP Commerce. Un attaquant distant exploitant cette vulnérabilité peut obtenir des informations sensibles normalement protégées dans certaines circonstances non-spécifiées.
CVE-2020-6271 [Score CVSS v3 : 8.1] : Une vulnérabilité de type déni de service a été découverte dans SAP Solution Manager. Un attaquant distant exploitant cette vulnérabilité peut provoquer l’épuisement de la mémoire du système grâce à un manquement d’authentification. Le plantage du programme provoqué par cette vulnérabilité peut également révéler des informations sensibles.
CVE-2020-6279 [Score CVSS v3 : 8.1] : Une vulnérabilité de type élévation de privilèges causée par un manquement d’authentification a été découverte dans SAP SuccessFactors Recruiting. Un attaquant distant authentifié en tant qu’utilisateur et exploitant cette vulnérabilité peut élever son niveau de privilèges via des appels spécifiquement conçus à des points d’API utilisés par le programme.
CVE-2020-6275 [Score CVSS v3 : 7.6] : Une vulnérabilité a été découverte dans SAP Netweaver AS ABAP. Un attaquant distant exploitant cette vulnérabilité peut faire s’authentifier le serveur victime auprès d’un serveur contrôlé par l’attaquant via l’ajout de celui-ci dans une configuration d’import/export de sessions. Dans certaines circonstances (NTLM paramétré), l’attaquant peut ainsi obtenir, supprimer ou modifier des informations contenues dans la base de données du logiciel.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
- Contournement de politiques d’authentification
- Fuite de données sensibles
- Perte de confidentialité, intégrité et disponibilité de données contenues en base de données
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 9.8 maximum
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
- La liste des composants vulnérables est disponible sur le bulletin SAP suivant : https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=547426775
CVE
- CVE-2020-1938
- CVE-2020-6265
- CVE-2020-6264
- CVE-2020-6271
- CVE-2020-6279
- CVE-2020-6275
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour les produits utilisés vers une version non-vulnérable
Solution de contournement
Aucune solution de contournement n’est disponible