Archives quotidiennes :

Mise à jour, Patch

Onapsis Research Labs diffuse 21 avis de sécurité pour les applications SAP HANA

Onapsis, spécialiste mondial de la sécurité des applications métiers et principal fournisseur de solutions de cybersécurité, vient de publier 21 nouveaux avis de sécurité détaillant un nombre sans précédent de failles affectant toutes les applications SAP HANA, dont les solutions SAP S/4HANA et SAP Cloud sous HANA.

Ces avis émis par le laboratoire de recherche Onapsis mettent l’accent sur huit failles critiques, dont six concernent la conception même de SAP HANA, impliquant pour les corriger de modifier la configuration du système. À défaut, des cybers attaquants non authentifiés, pourraient prendre entièrement le contrôle des applications SAP HANA vulnérables et ainsi voler, supprimer ou modifier des informations. Ils pourraient aussi déconnecter la plate-forme afin de perturber les processus clés de l’entreprise.

C’est la première fois que des avis d’un si haut niveau de criticité et portant sur un aussi grand nombre de failles sont émis pour SAP HANA.

Ces failles font courir un risque potentiel à plus de 10 000 clients SAP utilisant différentes versions de SAP HANA, parmi lesquels figurent bon nombre des 2000 plus grandes entreprises mondiales dans tous les secteurs d’activité (énergie, pharmacie, administration, etc.). Des experts estiment qu’une violation de sécurité entraînant l’arrêt d’une application SAP pourrait coûter jusqu’à 22 millions de dollars par minute à certaines entreprises, avec notamment la perturbation de la production et de la distribution de leurs produits de base ainsi que la perte de connexion Internet et de données. L’économie mondiale pourrait être considérablement affectée par l’exploitation des failles de SAP HANA, celles-ci laissant amplement le champ libre aux cyberattaques par des États-nations, à l’espionnage économique, à la fraude financière ou au sabotage des systèmes clés des entreprises.

« La nouvelle grande vague d’attaques vise les applications stratégiques sous SAP et Oracle car ce sont des cibles économiques de choix pour les cybercriminels », explique à DataSecurityBreach.fr Mariano Nunez, CEO d’Onapsis. Elles se situent aussi majoritairement dans un angle mort pour bon nombre de directeurs de la sécurité informatique. Les failles affectant les systèmes SAP font de plus en plus l’actualité à l’image de la première attaque largement relatée dont a été victime la société USIS, fournisseur de la direction des ressources humaines (OPM) du département américain de la sécurité intérieure (DHS). En tant que solide partenaire de SAP, Onapsis collabore étroitement avec cet éditeur et ses clients afin de les aider à protéger leurs actifs stratégiques et à réduire les risques pour leur entreprise. Grâce à notre recherche de pointe, SAP a publié des patchs et des directives de sécurité qui permettent aujourd’hui à ses clients de se protéger. Nous les aidons potentiellement à éviter toute violation de sécurité à grande échelle qui pourrait avoir des conséquences désastreuses et nous leur permettons ainsi de tirer pleinement parti de leur investissement dans SAP HANA.

Les nouveaux avis de sécurité pour SAP HANA émis par le laboratoire de recherche Onapsis portent notamment sur huit failles critiques, six failles à haut risque et sept failles de risque intermédiaire. Bon nombre des failles critiques concernent les interfaces TrexNet au cœur d’HANA qui orchestrent la communication entre les serveurs dans les configurations haute disponibilité des grandes entreprises. Mais comme HANA devient la technologie sous-jacente de toutes les applications SAP, y compris SAP S/4HANA et la plate-forme Cloud SAP HANA et prend en charge un vaste écosystème d’applications d’autres éditeurs, la surface d’attaque s’élargit de façon exponentielle avec des conséquences diverses d’un système à l’autre.

Les experts en sécurité du laboratoire de recherche Onapsis ont collaboré avec des centaines de grandes entreprises afin de quantifier l’impact de ces différentes failles dans le cadre d’un service intitulé Business Risk Illustration (BRI). Celui-ci analyse de manière efficace les menaces qui pèsent sur la disponibilité, l’intégrité et la confidentialité des données et processus SAP.

« Il faut impérativement que l’industrie informatique se penche sur la cybersécurité des systèmes SAP », déclare à Data Security Breach Juan Perez-Etchegoyen, directeur technique d’Onapsis. « Cet ensemble de failles critiques est un des plus sérieux que nous ayons identifiés jusqu’ici en termes de dommages qu’un attaquant non authentifié pourrait causer à une entreprise. En cas d’exploitation de ces failles, toute information stockée ou gérée par une application SAP-HANA pourrait être extraite, falsifiée et supprimée, notamment les données à propos des clients, des salariés, des fournisseurs et des prix mais aussi celles à caractère décisionnel ou celles concernant la propriété intellectuelle, les budgets, la planification et les prévisions. Pire, le système pourrait être totalement paralysé par l’attaquant. »

Principales recommandations pour les directeurs de la sécurité informatique
Certaines de ces failles ne peuvent être corrigées par l’application de patchs de sécurité et le service HANA TrexNet affecté ne peut être stoppé. La seule solution consiste à reconfigurer le système, opération qui doit être correctement effectuée. Outre la consultation des notes de sécurité SAP, le laboratoire de recherche Onapsis recommande aux clients SAP de procéder comme suit :

Étape 1. Configurer correctement les communications TrexNet. Si elles s’exécutent dans un environnement haute disponibilité, ces communications sont essentielles au fonctionnement de SAP HANA. Vérifiez que le réseau où elles s’effectuent est isolé de l’utilisateur final et n’est pas accessible via un autre réseau. Assurez-vous également qu’il y a bien cryptage et authentification au niveau de la couche transport. S’il n’y a qu’une seule instance de SAP HANA, vérifiez que toutes les interfaces TrexNet écoutent sur l’interface réseau localhost uniquement.

Étape 2. Surveiller l’activité des utilisateurs. Certaines failles critiques pourraient être exploitées par des utilisateurs légitimes et des attaquants tentant de se connecter aux composants vulnérables (SQL et HTTP). Surveillez par conséquent le trafic HTTP à la recherche de la moindre activité suspecte. Enfin, analysez les journaux HTTP et SQL afin d’y déceler des entrées douteuses.

Étape 3. Veiller à ce que les mesures de détection et de correction soient en place. Intégrez SAP à votre stratégie de sécurité de l’information afin d’assurer une surveillance en continu des systèmes SAP et SAP HANA et de délivrer en temps réel des informations de prévention, de détection et de correction aux outils existants de gestion des événements et des informations de sécurité (SIEM) et de gouvernance et de contrôle des risques (GRC)

Les autres failles critiques, non liées au protocole TrexNet, doivent être corrigées en suivant la procédure indiquée dans les notes de sécurité SAP. Plusieurs notes de sécurité ont été publiées par SAP à propos des failles décrites ici. Elles portent les numéros 2165583, 2148854, 2175928, 2197397 et 2197428. Onapsis encourage les clients SAP à en prendre connaissance et à les appliquer dès que possible.

BYOD, Cybersécurité, Entreprise, Mise à jour, Patch, Propriété Industrielle, spam

Cyberdéfense

La sécurité de l’informatique industrielle (domotique, industrie, transports) aux éditions ENI.

Ce livre sur la cyberdéfense s’adresse à toute personne sensibilisée au concept de la sécurité dans le domaine industriel. Il a pour objectif d’initier le lecteur aux techniques les plus courantes des attaquants pour lui apprendre comment se défendre. En effet, si la sécurité de l’informatique de gestion (applications, sites, bases de données…) nous est maintenant familière, la sécurité de l’informatique industrielle est un domaine beaucoup moins traditionnel avec des périphériques tels que des robots, des capteurs divers, des actionneurs, des panneaux d’affichage, de la supervision, etc. Elle commence à la maison avec la domotique et ses concepts s’étendent bien sûr à l’industrie et aux transports.

Dans un premier temps, les auteurs décrivent les protocoles de communication particuliers qui régissent les échanges dans ce domaine et détaillent quelques techniques basiques de hacking appliquées aux systèmes industriels et les contre-mesures à mettre en place. Les méthodes de recherches sont expliquées ainsi que certaines attaques possibles avec une bibliothèque particulière nommée scapy du langage Python (pour les novices, un chapitre rapide sur la prise en main de Python est présent). Enfin, un chapitre montrera les protocoles et failles des moyens de transport ferroviaires.

Dans la lignée du livre Ethical Hacking dans la même collection, les auteurs de ce livre sur la Cyberdéfense ont à cœur d’alerter chacun sur la sécurité de l’informatique industrielle : « apprendre l’attaque pour mieux se défendre » est toujours leur adage. Hackers blancs dans l’âme, ils ouvrent au lecteur les portes de la connaissance underground. 54€.

Les chapitres du livre : Introduction – Les systèmes industriels – Les techniques de prise d’empreinte – Les différentes menaces possibles – Les protocoles utilisés et leurs faiblesses – Création d’outils avec Python – Prise en main de Scapy – D’autres outils utiles – Les systèmes domotiques – Les réseaux et protocoles ferroviaires.

BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise, ID, Identité numérique, IOT, Particuliers, Vie privée

Internet des objets : les risques de la maison connectée

En examinant un échantillon aléatoire des plus récents produits issus de l’Internet des objets (IoT), les chercheurs de Kaspersky Lab ont découvert de sérieuses menaces pour la maison connectée. En effet, de nombreux objets connectés présentent des vulnérabilités importantes, à l’instar de cafetières divulguant les mots de passe Wi-Fi de leurs propriétaires (comme nous vous le révélions il y a 3 semaines, NDR), de baby phones facilement piratables ou encore de systèmes de sécurité domestique commandé par smartphone et pouvant être leurrés au moyen d’aimants.

En 2014, lorsque David Jacoby, expert en sécurité chez Kaspersky Lab, avait décidé de tester le niveau de vulnérabilité des équipements connectés de sa maison en cas de cyberattaque, il avait alors découvert que la quasi-totalité d’entre eux étaient vulnérables. A la suite de ce constat, en 2015, une équipe d’experts antimalware a réitéré l’expérience, à une légère différence près : alors que Jacoby avait concentré ses recherches principalement sur les serveurs, routeurs et téléviseurs connectés au réseau, cette nouvelle étude s’est intéressée aux divers équipements connectés disponibles sur le marché de la domotique.

Domotique : quels dangers les objets connectés représentent-ils ?
Pour mener l’expérience, l’équipe a testé une clé USB de streaming vidéo, une caméra IP, une cafetière et un système de sécurité domestique, les trois derniers étant commandés par smartphone. Des expériences réalisées dans plusieurs salons et hackfests que l’éditeur d’antivirus a repris à son compte pour cette étude.

Grâce à une connexion au réseau du propriétaire, le piratage de la caméra du baby phone a permis de se connecter à l’appareil, d’en visionner les images et d’activer le circuit audio. Notons également que d’autres caméras du même fabricant ont également servi à pirater les mots de passe du propriétaire. L’expérience a également démontré qu’il était également possible pour un pirate se trouvant sur le même réseau de récupérer le mot de passe maître de la caméra et de modifier son firmware à des fins malveillantes.

En ce qui concerne les cafetières pilotées par une application mobile, il n’est même pas nécessaire que le pirate se trouve sur le même réseau que sa victime. La cafetière examinée au cours de l’expérience a envoyé des informations suffisamment peu cryptées pour qu’un pirate découvre le mot de passe donnant accès à l’ensemble du réseau Wi-Fi de son propriétaire.

Enfin, lorsque les chercheurs de Kaspersky Lab ont étudié le système de sécurité domestique commandé par smartphone, ils ont pu constater que son logiciel ne présentait que quelques problèmes mineurs et était assez sécurisé pour résister à une cyberattaque.

Une vulnérabilité a cependant été découverte dans l’un des capteurs utilisé par le système : le fonctionnement du capteur de contact, destiné à déclencher l’alarme en cas de l’ouverture d’une porte ou d’une fenêtre, repose sur la détection d’un champ magnétique créé par un aimant monté sur le châssis. Concrètement, l’ouverture fait disparaître le champ magnétique, amenant le capteur à envoyer des messages d’alarme au système. Toutefois, si le champ magnétique est maintenu, l’alarme ne se déclenche pas.

Pendant l’expérience menée sur le système de sécurité domestique, les experts de Kaspersky Lab sont parvenus, au moyen d’un simple aimant, à remplacer le champ magnétique de l’aimant fixé sur la fenêtre, ce qui leur a permis d’ouvrir et de refermer celle-ci sans déclencher l’alarme. Le problème dans cette vulnérabilité est qu’elle est impossible à corriger par une mise à jour logicielle : elle tient à la conception même du système. Mais le plus préoccupant réside dans le fait que ces équipements sont couramment employés par de nombreux systèmes de sécurité sur le marché.

« Heureusement notre expérience montre que les fabricants prennent en compte la cyber sécurité lors du développement de leurs équipements pour l’Internet des objets. Néanmoins, tout objet connecté commandé par une application mobile est quasi certain de présenter au moins un problème de sécurité. Des criminels peuvent ainsi exploiter plusieurs de ces problèmes simultanément, raison pour laquelle il est essentiel pour les fabricants de les résoudre tous, y compris ceux qui ne paraissent pas critiques. Ces vulnérabilités doivent être corrigées avant même la commercialisation du produit car il est parfois bien plus difficile d’y remédier une fois que des milliers d’utilisateurs en ont fait l’acquisition », souligne à DataSecurityBreach.fr Victor Alyushin, chercheur en sécurité chez Kaspersky Lab.

Afin d’aider les utilisateurs à protéger leur cadre de vie et leurs proches contre les risques liés aux vulnérabilités des équipements IoT au sein de la maison connectée, voici quelques conseils élémentaires :

1. Avant d’acheter un équipement IoT quel qu’il soit, recherchez sur Internet s’il présente des vulnérabilités connues. L’Internet des objets est un sujet brûlant et de nombreux chercheurs se spécialisent dans la recherche de problèmes de sécurité de tous types de produits, qu’il s’agisse de baby phone ou d’armes à feu connectées. Il y a de fortes chances que l’objet que vous vous apprêtez à acheter ait déjà été examiné par des experts en sécurité et il est possible de savoir si les problèmes éventuellement détectés ont été corrigés.

2. Il n’est pas toujours judicieux d’acheter les produits le plus récents qui sont disponibles sur le marché. Outre les défauts habituels des nouveaux produits, ils risquent de receler des failles de sécurité qui n’ont pas encore été découvertes par les chercheurs. Le mieux est donc de privilégier des produits qui ont déjà eu plusieurs mises à jour de leur logiciel.

3. Si votre domicile renferme de nombreux objets de valeur, il est sans doute préférable d’opter pour un système d’alarme professionnel, en remplacement ou en complément de votre système existant commandé par smartphone, ou bien de configurer ce dernier afin d’éviter que toute vulnérabilité potentielle n’ait une incidence sur son fonctionnement. S’il s’agit d’un appareil appelé à collecter des informations sur votre vie personnelle et celle de vos proches, à l’instar d’un baby phone, mieux vaut peut-être vous tourner vers le modèle radio le plus simple du marché, uniquement capable de transmettre un signal audio, sans connexion Internet. Si cela n’est pas possible, alors reportez-vous à notre conseil n°1.