AccueilSécuritéPatchez maintenant ! Une faille critique dans un composant central menace les...

Patchez maintenant ! Une faille critique dans un composant central menace les produits SAP

La Cybersecurity Infrastructure Security Agency (CISA) met en garde contre de possibles attaques contre les produits SAP. Si des pirates exploitent des failles de sécurité dans le logiciel de gestion d’entreprise, ils pourraient compromettre complètement les ordinateurs. Un outil de test des systèmes et des correctifs de sécurité sont disponibles.

Sommaire

Dans un message d’alerte, la CISA écrit que les attaquants pourraient notamment pousser des chevaux de Troie de chiffrement sur les systèmes. Ils mettent également en garde contre la fraude financière et l’interruption de processus critiques pour l’entreprise. On ignore pour l’instant si des attaques ont déjà eu lieu.

Les « critique« La faille (CVE-2022-22536 CVSS Score 10 sur 10) concerne les applications SAP employant le gestionnaire de communication Internet (ICM). Ce composant principal est utilisé entre autres dans Content Server, NetWeaver et Web Dispatcher. Les attaquants doivent pouvoir manipuler les demandes des utilisateurs sans authentification. Si cela se produit, les pirates pourraient exécuter des fonctions au nom de la victime. Cela peut conduire à la compromission complète des systèmes.

Les administrateurs devraient installer rapidement les mises à jour publiées lors du Patchday. Celles-ci comblent encore deux autres failles (CVE-2022-22532 « .haute« , CVE-2022-2533 « haut« ) dans ICM. En collaboration avec SAP, les chercheurs en sécurité d’Onapsis ont publié un rapport sur ces failles.

Ils ont en outre créé un outil open source gratuit pour tester les systèmes sur ces vulnérabilités. Le scanner ICMAD d’Onapsis peut être téléchargé sur Github. Les développeurs avertissent toutefois que l’outil ne peut pas garantir à 100 % que les systèmes sont vulnérables ou non.

Plus d'articles