L’entreprise allemande des logiciels SAP a publié des mises à jour de sécurité comprenant des correctifs pour neuf nouvelles vulnérabilités classées comme critiques ou de haute gravité.

L'une des vulnérabilités critiques est CVE-2021-33698, un problème de upload de fichiers sans restriction affectant SAP Business One. Selon Onapsis, une société spécialisée dans la protection des applications critiques pour les entreprises, la faille peut être exploitée par un attaquant pour charger des scripts, ce qui suggère qu'elle peut être exploitée pour l'exécution de code arbitraire.

La deuxième faille de sécurité critique, identifiée sous le nom de CVE-2021-33690, a été décrite comme une falsification de requête côté serveur (SSRF) affectant NetWeaver Development Infrastructure. Un attaquant peut exploiter la vulnérabilité pour des attaques par proxy en envoyant des requêtes spécialement conçues, et si l'instance ciblée est exposée à internet, un pirate peut "compromettre complètement les données sensibles résidant sur le serveur, et impacter sa disponibilité."

La troisième, CVE-2021-33701, est une injection SQL dans le service SAP NZDT (Near Zero Downtime Technology).

Les vulnérabilités de haute gravité corrigées par SAP incluent deux failles XSS (cross-site scripting) et un problème SSRF dans NetWeaver Enterprise Portal, qui impactent deux des servlets du portail et permettent à un attaquant d'injecter du code JavaScript dans les pages correspondantes. Ce code est exécuté dans le navigateur de la victime lorsqu'elle accède à la servlet compromise. Quant au bug SSRF, il permet à un attaquant non authentifié d'effectuer des requêtes auprès de serveurs internes ou externes en amenant l'utilisateur ciblé à cliquer sur un lien malveillant.

Autres vulnérabilités jugées très graves : un problème d'authentification affectant tous les systèmes SAP auxquels on accède par le biais d'un Web Dispatcher, un problème de détournement de tâche dans l'application mobile Fiori Client pour Android, et une faille d'authentification manquante dans SAP Business One.

"Avec neuf correctifs critiques au total, les clients SAP sont confrontés au SAP Patch Day le plus remarquable de cette année. Le petit groupe d'applications SAP qui sont affectées par une vulnérabilité CVSS 9.9 en 2021 est maintenant étendu à SAP Business One et SAP NetWeaver Development Infrastructure", a déclaré Onapsis.

Les clients de SAP ne doivent pas négliger ces correctifs. Une étude menée au début de l'année par SAP et Onapsis a montré que les acteurs malveillants commencent souvent à cibler les vulnérabilités des applications SAP quelques jours après la mise à disposition des correctifs.