Lors de la conférence BlackHat qui s’est tenue à Las Vegas les 3 et 4 août dernier, le chercheur russe Alexander Polyakov a révélé une vulnérabilité dans le moteur J2EE du portail SAP Netweaver.
Celle-ci permet à un attaquant ayant accès à l’interface Web du portail de créer un compte utilisateur et de le déplacer dans le groupe des administrateurs. Si l’on en croit l’éditeur Deny All Research Center (DARC), spécialisé dans l’analyse et la prévention des menaces, SAP n’aurait pas encore mis de patch à disposition. Dans l’immédiat, toutes les applications s’appuyant sur la plateforme SAP Netweaver seraient donc potentiellement exposées à une attaque exploitant cette vulnérabilité.
L’attaque s’appuierait sur une erreur dans le mécanisme d’authentification, lorsque des méthodes HTTP explicites sont utilisées (Alors que les méthodes communes, GET et POST, sont habituellement gérées dans un fichier de configuration, c’est rarement le cas de la méthode HEAD. En conséquence, des requêtes qui contournent le mécanisme d’authentification peuvent être envoyées via cette méthode).
Le DARC recommande aux clients utilisant rWeb et sProxy de protéger leurs environnements SAP Netweaver en créant une black list spécifique. La version 4.0 de rWeb et sProxy facilite la création d’un filtre bloquant toutes méthodes autre que les méthodes GET ou POST, comme illustré ci-dessous :
De plus, l’équipe R&D de Deny All va créer un profil de sécurité pour les applications SAP Netweaver, qui implémentera ces restrictions par défaut, et sera inclus dans le prochain Feature Pack de rWeb 4.0 et sProxy 4.0.