Une vulnérabilité critique de SAP corrigée il y a des mois maintenant sur la liste des bogues exploités aux États-Unis

Une vulnérabilité critique de SAP qui a été corrigée en février vient d’être ajoutée à la liste des bogues de sécurité exploités d’une cyber-agence du gouvernement américain après avoir été discutée la semaine dernière lors de conférences sur la sécurité, ce qui laisse penser que la faille est actuellement exploitée.

Security Week rapporte que la vulnérabilité CVE-2022-22536 a été ajoutée cette semaine par la Cybersecurity and Infrastructure Security Agency (CISA) américaine à son catalogue de vulnérabilités exploitées connues.

Le catalogue est une liste de failles de sécurité qui ont été exploitées et qui doivent être corrigées par les départements fédéraux américains. Le secteur privé est également invité à examiner et à surveiller le catalogue et à prioriser la correction des vulnérabilités répertoriées afin de réduire la probabilité de compromission par des cybercriminels connus.

L’inscription de CVE-2022-22536 juste après que des chercheurs d’Onapsis en aient parlé et d’une autre vulnérabilité SAP critique, CVE-2022-22532, lors de la conférence Black Hat et DefCon la semaine dernière, soulève la possibilité que la CISA ait appris des pirates essaient de les exploiter après en avoir pris connaissance lors de la conférence.

Onapsis indique que les deux vulnérabilités peuvent être exploitées ensemble. « CVE-2022-22536 et CVE-2022-22532 étaient exploitables à distance et pouvaient être utilisés par des attaquants non authentifiés pour compromettre complètement toute installation SAP sur la planète, à moins que les systèmes ne soient corrigés », indique le rapport.

CVE-2022-22536 est une vulnérabilité de corruption de mémoire dans NetWeaver Application Server ABAP, NetWeaver Application Server Java, ABAP Platform, Content Server 7.53 et Web Dispatcher. Selon le National Institute of Standards and Technology (NIST) des États-Unis, elle les rend vulnérables à la contrefaçon de requêtes et à la concaténation des requêtes. Un attaquant non authentifié peut précéder la requête d’une victime avec des données arbitraires, indique un synopsis. « De cette façon, l’attaquant peut exécuter des fonctions se faisant passer pour la victime ou empoisonner les caches Web intermédiaires. Une attaque réussie pourrait entraîner une compromission complète de la confidentialité, de l’intégrité et de la disponibilité du système », déclare le NIST.

L’autre vulnérabilité, CVE-2022-22532, est également un problème de corruption de mémoire qui affecte certaines versions de NetWeaver Application Server Java. Le NIST dit qu’elle peut être exploitée par un attaquant non authentifié qui soumet une demande spécialement conçue au serveur HTTP qui déclenche une gestion incorrecte du tampon de mémoire partagée. Cela pourrait permettre à un contenu malveillant d’être exécuté et d’exécuter des fonctions qui pourraient usurper l’identité de la victime ou même voler la session de connexion de la victime.

Les deux vulnérabilités sont largement connues depuis février et devraient donc avoir été résolues à ce jour par les administrateurs SAP. Arctic Wolf faisait partie des fournisseurs de sécurité qui ont émis des avertissements en février à leur sujet.

Son rapport décrit CVE-2022-22536 comme une vulnérabilité critique de corruption de mémoire dans le composant SAP Internet Communication Manager (ICM) d’un certain nombre de produits qui pourrait conduire à une prise de contrôle complète du système sans authentification ni interaction de l’utilisateur.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Le rapport de Cisco sur le piratage de l’AMF appuie une présentation de la conférence Black Hat

L'authentification multifacteur (AMF) est une défense importante que les professionnels de la sécurité informatique devraient utiliser dans le cadre d'une stratégie de cybersécurité, déclare l'expert en AMF Roger Grimes – à une condition importante.

La vulnérabilité Log4J atteint des proportions endémiques, selon un rapport

Chargé d’enquêter sur la vulnérabilité découverte fin 2021 dans la bibliothèque Java Log4J, le Cyber Safety Review Board (CSRB) du Department of Homeland Security (DHS) américain affirme dans un rapport récemment publié que celle-ci restera un danger pendant de nombreuses années.

SAP Labs Montréal – Le bureau réinventé

SAP a inauguré récemment son nouveau SAP Labs Montréal, un centre de recherche et développement offrant les plus récentes avancées en termes d’espace de travail polyvalent

Atlassian avise les utilisateurs de désactiver ou de limiter l’accès Internet à Confluence

Les utilisateurs du logiciel de collaboration Confluence d'Atlassian ont été avisés de restreindre l'accès Internet au logiciel ou de le désactiver en raison d'une vulnérabilité critique. À minuit HAE le 2 juin, la société n'avait toujours pas de correctif pour le problème et n'a pas non plus donné de délai de résolution.

SAP met l’emphase sur quatre domaines d’intérêt lors de sa conférence Sapphire

Le géant des logiciels d'entreprise SAP a choisi quatre domaines sur lesquels se concentrer lors de sa conférence Sapphire la semaine dernière : la chaîne d'approvisionnement, la durabilité, la transformation des processus d’affaires et l'accélération de l'innovation.