Alerte sécurité : Le moteur J2EE de SAP compromis
mer, 17/08/2011 - 13:55
Cette alerte sécurité est publiée par le Deny All Research Center, division de Deny All. Lors de la conférence BlackHat qui s’est tenue à Las Vegas les 3 et 4 Août 2011, le chercheur russe Alexander Polyakov a révélé une vulnérabilité dans le moteur J2EE du portail SAP Netweaver. Cette vulnérabilité permet à un attaquant ayant accès à l’interface web du portail de créer un compte utilisateur et de le déplacer dans le groupe des administrateurs. SAP n’a pas encore mis de patch à disposition. Dans l’immédiat, toutes les applications s’appuyant sur la plateforme SAP Netweaver sont donc potentiellement exposées à une attaque exploitant cette vulnérabilité.
Description de l’attaque
L’attaque s’appuie sur une erreur dans le mécanisme d’authentification, lorsque des méthodes HTTP explicites sont utilisées. Alors que les méthodes communes, GET et POST, sont habituellement gérées dans un fichier de configuration, c’est rarement le cas de la méthode HEAD. En conséquence, des requêtes qui contournent le mécanisme d’authentification peuvent être envoyées via cette méthode.
Recommandation
L’équipe du DARC team recommande aux clients utilisant rWeb et sProxy de protéger d’ores et déjà leurs environnements SAP Netweaver en créant une Black List spécifique. La version 4.0 de rWeb et sProxy facilite la création d’un filtre bloquant toutes méthodes autre que les méthodes GET ou POST, comme illustré ci-dessous :
L’équipe R&D de Deny All a pris la décision de créer un profil de sécurité pour les applications SAP Netweaver, qui implémentera ces restrictions par défaut, et sera inclus dans le prochain Feature Pack. de rWeb 4.0 et sProxy 4.0.