Les pirates ciblent les vulnérabilités non patchées dans les applications SAP, selon un rapport publié par SAP et la société de recherche sur les cybermenaces Onapsis.
Le rapport détaille plus de 300 exploitations réussies de vulnérabilités critiques précédemment corrigées par SAP par 1 500 tentatives d’attaque entre juin 2020 et mars 2021.
Il a également souligné que la fenêtre de temps pour les défenseurs d’agir était significativement plus petite qu’on ne le pensait auparavant, « avec des exemples de vulnérabilités SAP étant armes en moins de 72 heures » après la sortie des correctifs et « de nouvelles applications SAP non protégées provisionnées dans les environnements cloud (IaaS) découvertes et compromises en moins de trois heures ».
Le rapport note que 18 des 20 principaux producteurs mondiaux de vaccins exécutent leur production sur SAP, 19 des 28 pays de l’OTAN exécutent SAP et que 77 % des recettes transactionnels mondiales touchent un système SAP.
Un porte-parole d’Onapsis a déclaré que c’était la première fois que SAP publie un communiqué de presse officiel sur les cybermenaces affectant ses clients. Onapsis est une société de logiciels de surveillance de la sécurité et de la conformité ainsi qu’une société de recherche en sécurité.
Le communiqué a indiqué que les deux sociétés avaient « travaillé en étroite collaboration avec le département américain de la Sécurité intérieure (DHS), la Cybersecurity and Infrastructure Security Agency (CISA) et l’Autorité fédérale allemande de cybersécurité (BSI), conseillant aux organisations de prendre des mesures immédiates pour appliquer des correctifs SAP et des configurations sécurisées disponibles depuis longtemps, et effectuer des évaluations de compromis sur les environnements critiques ».
Les deux hommes se sont déclarés « inconscients des infractions connues commises par des clients directement liées à cette recherche ». Le rapport ne décrivait pas non plus les nouvelles vulnérabilités du logiciel cloud SAP comme un service ou l’infrastructure informatique d’entreprise de SAP. Les deux sociétés ont toutefois noté que de nombreuses organisations n’avaient toujours pas appliqué les mesures d’atténuation pertinentes qui ont longtemps été fournies par SAP.
« Nous publions la recherche qu’Onapsis a partagée avec SAP dans le cadre de notre engagement à aider nos clients à s’assurer que leurs applications essentielles à la mission sont protégées »
Tim McKnight, SAP
« Nous publions les recherches qu’Onapsis a partagées avec SAP dans le cadre de notre engagement à aider nos clients à assurer la protection de leurs applications essentielles à leurs missions », a déclaré Tim McKnight, chief security officer chez SAP. « Cela comprend l’application des correctifs disponibles, l’examen en profondeur de la configuration de sécurité de leurs environnements SAP et l’évaluation proactive des signes de compromis. »
Le PDG et co-fondateur d’Onapsis, Mariano Nunez, a déclaré que les résultats critiques notés dans son rapport décrivait les attaques contre les vulnérabilités pour lesquelles des correctifs et des lignes directrices de configuration sécurisées étaient disponibles depuis des mois, voire des années.
« Malheureusement, trop d’organisations continuent d’opérer avec un déficit de gouvernance important en termes de cybersécurité et de conformité de leurs applications critiques, ce qui permet aux acteurs externes et internes de la menace d’accéder, d’exfiltrer et de prendre le contrôle total de leurs informations et processus les plus sensibles et réglementés », a-t-il déclaré. « Les entreprises qui n’ont pas donné la priorité à l’atténuation rapide de ces risques connus devraient considérer leurs systèmes compromis et prendre des mesures immédiates et appropriées. »
Dans l’avant-propos du rapport, Nunez a déclaré: « Les preuves saisies dans ce rapport montrent clairement que les acteurs de la menace ont la motivation, les moyens et l’expertise nécessaires pour identifier et exploiter les applications SAP critiques pour la mission non protégées, et le font activement. Ils ciblent directement ces applications, y compris, sans s’y limiter, la planification des ressources d’entreprise (ERP), la gestion de la chaîne d’approvisionnement (SCM), la gestion du capital humain (HCM), la gestion du cycle de vie des produits (PLM), la gestion de la relation client (CRM) et d’autres.
Les applications professionnelles sont connues depuis un certain temps pour être le ventre mou de nombreuses organisations d’entreprise, au-delà de la sécurité du périmètre. Nunez, dans l’avant-propos, a également déclaré: « Cloud et internet exposés applications critiques qui aident à promouvoir de nouveaux processus et des opportunités d’affaires augmentent également la surface d’attaque que les acteurs cyber sont maintenant cibler. »
Le communiqué indique qu’aucune des vulnérabilités n’était présente dans les solutions cloud maintenues par SAP.
Le DHS CISA a également émis une alerte sur le ciblage potentiel des applications SAP critiques.
Technologie3 ans ago
Monde3 ans ago
Monde2 ans ago
Monde3 ans ago
Monde3 ans ago
France3 ans ago
France3 ans ago
France3 ans ago