Une vulnérabilité critique de SAP qui a été corrigée en février vient d’être ajoutée à la liste des bogues de sécurité exploités d’une cyber-agence du gouvernement américain après avoir été discutée la semaine dernière lors de conférences sur la sécurité, ce qui laisse penser que la faille est actuellement exploitée.
Security Week rapporte que la vulnérabilité CVE-2022-22536 a été ajoutée cette semaine par la Cybersecurity and Infrastructure Security Agency (CISA) américaine à son catalogue de vulnérabilités exploitées connues.
Le catalogue est une liste de failles de sécurité qui ont été exploitées et qui doivent être corrigées par les départements fédéraux américains. Le secteur privé est également invité à examiner et à surveiller le catalogue et à prioriser la correction des vulnérabilités répertoriées afin de réduire la probabilité de compromission par des cybercriminels connus.
L’inscription de CVE-2022-22536 juste après que des chercheurs d’Onapsis en aient parlé et d’une autre vulnérabilité SAP critique, CVE-2022-22532, lors de la conférence Black Hat et DefCon la semaine dernière, soulève la possibilité que la CISA ait appris des pirates essaient de les exploiter après en avoir pris connaissance lors de la conférence.
Onapsis indique que les deux vulnérabilités peuvent être exploitées ensemble. « CVE-2022-22536 et CVE-2022-22532 étaient exploitables à distance et pouvaient être utilisés par des attaquants non authentifiés pour compromettre complètement toute installation SAP sur la planète, à moins que les systèmes ne soient corrigés », indique le rapport.
CVE-2022-22536 est une vulnérabilité de corruption de mémoire dans NetWeaver Application Server ABAP, NetWeaver Application Server Java, ABAP Platform, Content Server 7.53 et Web Dispatcher. Selon le National Institute of Standards and Technology (NIST) des États-Unis, elle les rend vulnérables à la contrefaçon de requêtes et à la concaténation des requêtes. Un attaquant non authentifié peut précéder la requête d’une victime avec des données arbitraires, indique un synopsis. « De cette façon, l’attaquant peut exécuter des fonctions se faisant passer pour la victime ou empoisonner les caches Web intermédiaires. Une attaque réussie pourrait entraîner une compromission complète de la confidentialité, de l’intégrité et de la disponibilité du système », déclare le NIST.
L’autre vulnérabilité, CVE-2022-22532, est également un problème de corruption de mémoire qui affecte certaines versions de NetWeaver Application Server Java. Le NIST dit qu’elle peut être exploitée par un attaquant non authentifié qui soumet une demande spécialement conçue au serveur HTTP qui déclenche une gestion incorrecte du tampon de mémoire partagée. Cela pourrait permettre à un contenu malveillant d’être exécuté et d’exécuter des fonctions qui pourraient usurper l’identité de la victime ou même voler la session de connexion de la victime.
Les deux vulnérabilités sont largement connues depuis février et devraient donc avoir été résolues à ce jour par les administrateurs SAP. Arctic Wolf faisait partie des fournisseurs de sécurité qui ont émis des avertissements en février à leur sujet.
Son rapport décrit CVE-2022-22536 comme une vulnérabilité critique de corruption de mémoire dans le composant SAP Internet Communication Manager (ICM) d’un certain nombre de produits qui pourrait conduire à une prise de contrôle complète du système sans authentification ni interaction de l’utilisateur.
Adaptation et traduction française par Renaud Larue-Langlois.
