Pc-urgence Un hack de SAP CRM détaillé par ERPScan - Pc-urgence

Un hack de SAP CRM détaillé par ERPScan

Le mois dernier, SAP a proposé un correctif pour patcher deux failles de sécurité dans SAP NetWeaver AS Java, un composant notamment utilisé dans la suite CRM de l’éditeur allemand. Un scénario d’attaque détaillé a été mis en avant par le spécialiste en cybersécurité ERPScan.

Le 13 février 2018, SAP a publié deux bulletins de sécurité (2547431 et 2565622) afin de corriger des vulnérabilités dans SAP NetWeaver AS Java, un composant utilisé dans plusieurs solutions de l’éditeur allemand, dont son offre CRM.

« La première faille de sécurité est une vulnérabilité Directory dans le composant Redwood. Elle permet de lire n’importe quel fichier du système, par exemple, les fichiers nommés « SecStore » contenant des informations critiques comme le mot de passe administrateur et les informations d’identification de la base de données sous une forme cryptée. Avec l’aide de cette vulnérabilité, un pirate peut lire ces informations d’identification chiffrées à distance, les déchiffrer et lire n’importe quel fichier dans un système sans authentification », a expliqué ERPScan spécialisé dans la cybersécurité. « La deuxième vulnérabilité dans SAP CRM permet de créer un fichier dans le système et d’y enregistrer tout ce que vous voulez. Un attaquant peut créer un fichier illicite contenant un shell Web et l’exécuter du côté serveur. »

Des failles à corriger immédiatement

Ces failles ayant été corrigées par l’éditeur, ERPScan a cru bon de publier un scénario d’attaque, avec vidéo à l’appui. Une publication qui intervient dans un intervalle de temps assez réduit (1 mois) par rapport à la publication des patchs. Les étapes clés du scénario d’attaque sont les suivantes : utilisation de la vulnérabilité Directory pour lire de façon chiffrée les identifiants administrateur, déchiffrement et identification dans le portail SAP CRM, exploitation de la seconde vulnérabilité pour changer le chemin de log fichier vers un chemin d’accès racine web app et injection de code malveillant (web-shell) via une requête spécifique dans le log fichier appelé de façon anonyme depuis un serveur web distant.

Pour les entreprises utilisant SAP CRM et n’ayant pas encore appliqué ces patchs, il est donc urgent de le faire au risque d’être potentiellement victime d’un exploit reposant sur ces vulnérabilités.

Let’s block ads! (Why?)

Powered by WPeMatico

Dépannage informatique à domicile

Dépannage informatique à domicile

PC urgence, le spécialiste du dépannage informatique à domicile sur Paris et Île-de-France, jour et nuit vous bénéficiez d'un dépannage informatique sans aucun surcoût et sans frais de déplacements. Contactez-nous au 09.70.40.81.52.
Protected by Copyscape Web Plagiarism Tool

Laisser un commentaire

Vous devez être connecté pour publier un commentaire.

Dépannage informatique Paris et Ile de france

Dépannage informatique paris et ile de france
Prix:
89 €

Rappel Gratuit

Prix:
GRATUIT

Rappel Gratuit

Prix:
GRATUIT

Ouvert 24/24

Ouvert 24/24 Week end
border
Un technicien chez vous
24/24 7/7

Rappel Gratuit

Prix:
GRATUIT

Antivirus Gratuit

Prix:
GRATUIT
ACCUEIL    |    ACTUALITES    |    internet    |    accessoires et logiciels    |    contact
Claude Arel Retrouvez-nous sur Google+ Google Copyright © 2010-2013 Pc-Urgence