Une vulnérabilité critique de SAP corrigée il y a des mois maintenant sur la liste des bogues exploités aux États-Unis

Une vulnérabilité critique de SAP qui a été corrigée en février vient d’être ajoutée à la liste des bogues de sécurité exploités d’une cyber-agence du gouvernement américain après avoir été discutée la semaine dernière lors de conférences sur la sécurité, ce qui laisse penser que la faille est actuellement exploitée.

Security Week rapporte que la vulnérabilité CVE-2022-22536 a été ajoutée cette semaine par la Cybersecurity and Infrastructure Security Agency (CISA) américaine à son catalogue de vulnérabilités exploitées connues.

Le catalogue est une liste de failles de sécurité qui ont été exploitées et qui doivent être corrigées par les départements fédéraux américains. Le secteur privé est également invité à examiner et à surveiller le catalogue et à prioriser la correction des vulnérabilités répertoriées afin de réduire la probabilité de compromission par des cybercriminels connus.

L’inscription de CVE-2022-22536 juste après que des chercheurs d’Onapsis en aient parlé et d’une autre vulnérabilité SAP critique, CVE-2022-22532, lors de la conférence Black Hat et DefCon la semaine dernière, soulève la possibilité que la CISA ait appris des pirates essaient de les exploiter après en avoir pris connaissance lors de la conférence.

Onapsis indique que les deux vulnérabilités peuvent être exploitées ensemble. « CVE-2022-22536 et CVE-2022-22532 étaient exploitables à distance et pouvaient être utilisés par des attaquants non authentifiés pour compromettre complètement toute installation SAP sur la planète, à moins que les systèmes ne soient corrigés », indique le rapport.

CVE-2022-22536 est une vulnérabilité de corruption de mémoire dans NetWeaver Application Server ABAP, NetWeaver Application Server Java, ABAP Platform, Content Server 7.53 et Web Dispatcher. Selon le National Institute of Standards and Technology (NIST) des États-Unis, elle les rend vulnérables à la contrefaçon de requêtes et à la concaténation des requêtes. Un attaquant non authentifié peut précéder la requête d’une victime avec des données arbitraires, indique un synopsis. « De cette façon, l’attaquant peut exécuter des fonctions se faisant passer pour la victime ou empoisonner les caches Web intermédiaires. Une attaque réussie pourrait entraîner une compromission complète de la confidentialité, de l’intégrité et de la disponibilité du système », déclare le NIST.

L’autre vulnérabilité, CVE-2022-22532, est également un problème de corruption de mémoire qui affecte certaines versions de NetWeaver Application Server Java. Le NIST dit qu’elle peut être exploitée par un attaquant non authentifié qui soumet une demande spécialement conçue au serveur HTTP qui déclenche une gestion incorrecte du tampon de mémoire partagée. Cela pourrait permettre à un contenu malveillant d’être exécuté et d’exécuter des fonctions qui pourraient usurper l’identité de la victime ou même voler la session de connexion de la victime.

Les deux vulnérabilités sont largement connues depuis février et devraient donc avoir été résolues à ce jour par les administrateurs SAP. Arctic Wolf faisait partie des fournisseurs de sécurité qui ont émis des avertissements en février à leur sujet.

Son rapport décrit CVE-2022-22536 comme une vulnérabilité critique de corruption de mémoire dans le composant SAP Internet Communication Manager (ICM) d’un certain nombre de produits qui pourrait conduire à une prise de contrôle complète du système sans authentification ni interaction de l’utilisateur.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

CGI consolide son partenariat avec SAP et élargit sa gamme de services

La société montréalaise CGI annonce aujourd'hui la bonification de son partenariat de longue date avec SAP avec l'ajout de la solution RISE with SAP à son portefeuille canadien de services. Cela permettra à CGI d'accélérer la transition de ses clients vers le nuage.

Les administrateurs de systèmes industriels avisés de restreindre l’accès physique à certains automates Siemens

Les sites industriels utilisant des automates programmables (AP) de la série S7-1500 connectés au réseau de Siemens sont avisés d'isoler physiquement les appareils après la découverte de vulnérabilités graves.

Une vulnérabilité de Linux récemment découverte classée 10 en gravité

Les administrateurs Linux sont avisés de traiter cinq nouvelles vulnérabilités, dont l'une est classée 10 sur l’échelle de gravité CVSS (Common Vulnerability Scoring System).

Alerte émise de mettre à jour les appareils Citrix ADC et Gateway

Citrix a émis une alerte critique appelant à une action immédiate pour installer les mises à jour de certains modèles de ses produits Application Delivery Controller (ADC) et Gateway après la découverte d'une vulnérabilité du jour zéro permettant aux cybercriminels de contourner les contrôles d'authentification.

Certains modèles de téléphones IP Cisco présentent une vulnérabilité très grave

Plusieurs modèles de téléphones IP de Cisco Systems présentent une vulnérabilité de haute gravité, a reconnu la société, mais un correctif ne sera pas disponible avant janvier.