les plates-formes SAP HANA ont été juste trouvé vulnérables, contenant plusieurs failles à haut risque. Lors de l'exploitation, les vulnérabilités pourraient permettre à un attaquant de prendre le contrôle à distance complet sur la plate-forme, sans même avoir besoin nom d'utilisateur et mot de passe. Les vulnérabilités ont été découvertes par Onapsis.
Comme l'a expliqué Sebastian Bortnik, Directeur de recherche Onapsis, "ce niveau d'accès permettrait à un attaquant d'effectuer toute action sur l'information de l'entreprise et les processus pris en charge par HANA, y compris la création, vol, modifier et / ou supprimer des informations sensibles."
en relation: CVE-2017-5638 Patched mais encore Under Attack, Les entreprises à risque
L'exploitation de ces failles pourraient causer les organismes concernés de nombreuses conséquences graves.
Qu'est-ce que HANA composants ne les vulnérabilités affectent?
Les défauts affectent le SAP HANA utilisateur composant Self Service qui est pas activé par défaut. En ce qui concerne les versions de HANA, voici la liste exacte:
– SAP HANA SPS 12 (rel newdb 1.00.121.00.1466466057)
– SAP HANA 2 SPS0 (rel newdb 2.00.000.00.1479874437)
– SAP HANA SPS11 (1.00.110.144775). Sorti en Novembre 2015
– SAP HANA SPS10 (1.00.101.00.1435831848). Sorti en Juin 2015
– SAP HANA SPS09 (1.00.91.1418659308). Sorti en Novembre 2014.
En savoir plus sur l'outil Self Service pour SAP HANA
L'outil permet aux utilisateurs d'activer des fonctionnalités supplémentaires telles que le changement de mot de passe, réinitialisation du mot de passe oublié, utilisateur auto-inscription. Il y a peu de vulnérabilités trouvées dans le composant, et ils ont été marqués avec CVSS v3 Base de Score de 9.80, Onapsis chercheurs expliquent.
Si elle est exploitée avec succès, les vulnérabilités pourraient permettre à un attaquant d'usurper l'identité d'autres utilisateurs, même les privilégiés élevés. Comme il est mentionné au début,, la plate-forme pourrait être compromise à distance sans avoir besoin d'informations de connexion.
en relation: Flaw ESET CVE-2016-9892 Expose Mac à l'exécution de code à distance
Les chercheurs ont découvert des failles sur la dernière SAP HANA 2 plate-forme, mais plus tard rendu compte que certaines versions plus anciennes étaient aussi vulnérables. Leurs résultats laissent à la conclusion gênante que les défauts étaient présents dans la plate-forme pour environ deux ans et demi. Ceci est lorsque l'utilisateur composant Self Service a été introduit. Malheureusement, cette longue période de temps suggère que les vulnérabilités ont déjà été découverts par des attaquants malveillants afin de compromettre les organisations exécutant des systèmes SAP.
En ce qui concerne la façon dont les organisations doivent faire face à ces vulnérabilités, Sebastian Bortnik dit:
Nous espérons que les organisations utiliseront cette menace intelligence pour évaluer leurs systèmes et de confirmer qu'ils n'utilisent actuellement ce composant, et par conséquent ne sont pas affectés par ces risques. Même si le service est désactivée, nous recommandons toujours que ces organisations appliquent les correctifs au cas où une modification est apportée au système à l'avenir.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: