La r\u00e9ponse se trouve dans l'environnement SAP, ou plut\u00f4t dans les syst\u00e8mes Q et Dev, les gestionnaires de solutions et les syst\u00e8mes h\u00e9rit\u00e9s, ainsi que dans les clients des utilisateurs, que les auditeurs n'avaient pas sous les yeux. Des configurations incompl\u00e8tes ou erron\u00e9es au sein de l'environnement SAP peuvent finalement conduire \u00e0 la compromission de syst\u00e8mes consid\u00e9r\u00e9s comme s\u00fbrs.<\/p>\n\n\n\n
Deux sc\u00e9narios exemplaires illustrent des \"attaques lat\u00e9rales\" typiques sur des syst\u00e8mes apparemment hautement s\u00e9curis\u00e9s et productifs. Ils permettent \u00e0 un attaquant d'obtenir un acc\u00e8s complet sans utiliser une faille ou une mauvaise configuration du syst\u00e8me cible.<\/p>\n\n\n\n
Le premier sc\u00e9nario d\u00e9crit le passage par le PC d'un utilisateur pour acc\u00e9der au syst\u00e8me SAP productif et hautement s\u00e9curis\u00e9 : qu'il s'agisse de phishing, de ransomware, de campagnes APT ou de la prochaine vague de programmes malveillants comme WannaCry, il arrive malheureusement r\u00e9guli\u00e8rement dans les entreprises que les PC clients soient d\u00e9tourn\u00e9s et contr\u00f4l\u00e9s \u00e0 distance malgr\u00e9 toutes les mesures de protection prises, comme les programmes antivirus ou les pare-feu.<\/p>\n\n\n\n
Une fois que les pirates ont pris le contr\u00f4le d'un client, ils \u00e9tendent rapidement l'acc\u00e8s \u00e0 d'autres clients (lateral movement). Ce n'est qu'une question de temps avant qu'un attaquant ne contr\u00f4le le client d'un administrateur de base ou d'un utilisateur SAP. En effet, il est beaucoup plus facile d'obtenir un acc\u00e8s via des attaques sur les syst\u00e8mes Windows et sur l'utilisateur que d'attaquer directement le syst\u00e8me SAP.<\/p>\n\n\n\n
En outre, de nombreuses entreprises utilisent le Single Sign-on (SSO) pour l'authentification afin d'\u00e9liminer les mots de passe. Tant qu'une authentification \u00e0 deux facteurs n'est pas utilis\u00e9e, le SSO convient tr\u00e8s bien aux attaquants comme porte d'entr\u00e9e dans le syst\u00e8me SAP - et ce, sans aucun mot de passe unique ! En effet, tant que l'attaquant se d\u00e9place dans le contexte de l'administrateur SAP sur son PC, le m\u00e9canisme SSO effectue l'authentification en arri\u00e8re-plan et l'attaquant peut acc\u00e9der directement et sans autre effort au syst\u00e8me SAP dans le contexte de l'utilisateur admin. Quelques scripts Powershell et une connexion RFC au syst\u00e8me SAP suffisent \u00e0 l'attaquant pour y acc\u00e9der.<\/p>\n\n\n\n
Pour se prot\u00e9ger efficacement contre de telles attaques, une authentification \u00e0 deux facteurs est absolument n\u00e9cessaire. Dans le deuxi\u00e8me sc\u00e9nario, les destinations RFC entre les syst\u00e8mes SAP jouent un r\u00f4le d\u00e9cisif. Chaque fois que de nouvelles fonctionnalit\u00e9s ou versions doivent \u00eatre test\u00e9es, un syst\u00e8me Sandbox n'est pas loin. On copie volontiers ici l'ensemble du syst\u00e8me productif afin de permettre un test proche de la r\u00e9alit\u00e9. <\/p>\n\n\n\n
Les d\u00e9veloppeurs ou les testeurs b\u00e9n\u00e9ficient de droits accrus dans le syst\u00e8me Sandbox, ce qui leur permet d'identifier et de r\u00e9soudre rapidement les probl\u00e8mes. Mais ce syst\u00e8me de sandbox peut rapidement entra\u00eener la chute du syst\u00e8me productif, consid\u00e9r\u00e9 comme hautement s\u00e9curis\u00e9. Cela peut se produire d\u00e8s qu'il est possible de s\u00e9lectionner un module de fonction distant pour la r\u00e9initialisation du mot de passe et une destination RFC vers un syst\u00e8me de production. Un utilisateur cible s\u00e9lectionn\u00e9 re\u00e7oit alors un nouveau mot de passe - et l'attaquant peut acc\u00e9der librement au syst\u00e8me de production. De telles attaques peuvent \u00eatre emp\u00each\u00e9es en n'autorisant syst\u00e9matiquement aucune connexion privil\u00e9gi\u00e9e des syst\u00e8mes \"inf\u00e9rieurs\" vers les syst\u00e8mes \"sup\u00e9rieurs\". En outre, toutes les destinations RFC critiques doivent \u00eatre retir\u00e9es de la sandbox apr\u00e8s la copie du syst\u00e8me.<\/p>\n\n\n\n
M\u00eame des syst\u00e8mes tr\u00e8s s\u00fbrs et n\u00e9cessitant peu d'efforts peuvent \u00eatre compromis. Pour \u00e9valuer la s\u00e9curit\u00e9 du syst\u00e8me, il faut v\u00e9rifier l'ensemble de l'environnement SAP. Contr\u00f4ler uniquement les syst\u00e8mes de production ou la ligne ERP conduit \u00e0 une \u00e9valuation lacunaire. Il est important de disposer d'un logiciel de contr\u00f4le qui effectue ce travail global. Ce n'est qu'en ayant une vue d'ensemble de son environnement SAP que l'on peut identifier et emp\u00eacher efficacement les attaques lat\u00e9rales sur les syst\u00e8mes critiques !<\/p>\n\n\n\n
werth-it.de<\/a><\/p>","protected":false},"excerpt":{"rendered":" La bonne nouvelle : les syst\u00e8mes SAP productifs ont r\u00e9sist\u00e9 \u00e0 tous les contr\u00f4les des auditeurs et ont pouss\u00e9 les testeurs d'intrusion au d\u00e9sespoir. Et puis : un attaquant s'est empar\u00e9 du syst\u00e8me hautement s\u00e9curis\u00e9.<\/p>","protected":false},"author":5062,"featured_media":2451,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"pmpro_default_level":"0","footnotes":""},"categories":[21,43065],"tags":[15055,31057,1790,43067,236,41787],"coauthors":[43294],"class_list":["post-128752","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-security","category-mag-23-06","tag-cyberattacken","tag-cybercrime","tag-it-security","tag-mag-23-06","tag-sap","tag-security-experte","pmpro-has-access"],"acf":[],"featured_image_urls_v2":{"full":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"thumbnail":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-150x150.jpg",150,150,true],"medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",400,172,false],"medium_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-768x331.jpg",768,331,true],"large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"image-100":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-100x43.jpg",100,43,true],"image-480":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-480x207.jpg",480,207,true],"image-640":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-640x276.jpg",640,276,true],"image-720":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-720x310.jpg",720,310,true],"image-960":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-960x414.jpg",960,414,true],"image-1168":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"image-1440":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"image-1920":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"1536x1536":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"2048x2048":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"trp-custom-language-flag":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",18,8,false],"bricks_large_16x9":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"bricks_large":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"bricks_large_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",1000,431,false],"bricks_medium":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",600,259,false],"bricks_medium_square":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security.jpg",600,259,false],"profile_24":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-24x24.jpg",24,24,true],"profile_48":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-48x48.jpg",48,48,true],"profile_96":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-96x96.jpg",96,96,true],"profile_150":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-150x150.jpg",150,150,true],"profile_300":["https:\/\/e3mag.com\/wp-content\/uploads\/2016\/11\/It-Security-300x300.jpg",300,300,true]},"post_excerpt_stackable_v2":" Die gute Nachricht: Die produktiven SAP-Systeme haben alle Checks der Wirtschaftspr\u00fcfer \u00fcberstanden und die Penetrationstester zur Verzweiflung getrieben. Und dann: Ein Angreifer hat das hochsichere System gekapert.<\/p>\n","category_list_v2":"IT-Security Kolumne<\/a>, Mag 23-06<\/a>","author_info_v2":{"name":"Thomas Werth, Werth IT","url":"https:\/\/e3mag.com\/fr\/author\/thomas-werth\/"},"comments_num_v2":"0 commentaire","_links":{"self":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/128752","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/users\/5062"}],"replies":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/comments?post=128752"}],"version-history":[{"count":1,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/128752\/revisions"}],"predecessor-version":[{"id":131009,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/posts\/128752\/revisions\/131009"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media\/2451"}],"wp:attachment":[{"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/media?parent=128752"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/categories?post=128752"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/tags?post=128752"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/e3mag.com\/fr\/wp-json\/wp\/v2\/coauthors?post=128752"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}