Onapsis, une société bostonienne spécialisée dans la protection des systèmes SAP, vient de signaler la présence d’une série de failles sérieuses pouvant affecter les applications basées sur la base de données en mémoire HANA de SAP, dont un certain nombre de solutions dans le cloud. Sur les 21 bulletins d’alerte émis, 8 décrivent des vulnérabilités présentant un risque critique, dont 6 nécessitent d’intervenir dans la configuration système pour être court-circuitées. Sans modification, des utilisateurs non authentifiés pourraient s’octroyer un contrôle complet sur les systèmes SAP vulnérables, ce qui pourrait entraîner le vol, la destruction ou l’altération de données, ou encore l’interruption de processus métiers. C’est la première fois que des bulletins liés à ce niveau de criticité sont communiqués pour SAP HANA, indique Onapsis sur son blog. (mise à jour : le 10 novembre, SAP a livré un Patch Day Security et publié un billet sur le sujet).

« Nous avons trouvé un certain nombre de choses cachées sous le tapis », a indiqué Mariano Nunez, CEO d’Onapsis. Ce qui est particulièrement délicat, c’est que les 21 failles trouvées par sa société sont exploitables à distance, via Internet. « Le type de vulnérabilité découvertes permettrait à n’importe quel attaquant de prendre le contrôle complet de n’importe quel système basé sur SAP HANA sans utiliser d’identifiant ni de mot de passe », pointe M. Nunez.

Des interventions sur plus de 250 bugs zero-day

La firme Onapsis travaille sur HANA depuis un certain temps et vend une plateforme et des services permettant d’obtenir des notifications avancées sur les failles qu’elle trouve afin que ses clients puissent se protéger contre les attaques. Elle collabore étroitement avec SAP et a contribué à réduire les risques sur plus de 250 bugs zero-day.

SAP a été averti dès février sur un certain nombre des problèmes et fourni des mises à jour pour y remédier. Développée pour concurrencer la base de données d’Oracle, HANA a été livrée fin 2010 pour accélérer les analyses de données réalisées avec les logiciels décisionnels de SAP, notamment via son datawarehouse BW. Depuis janvier 2013, la suite de gestion phare de l’éditeur allemand, la Business Suite (ERP, CRM, SCM…), peut s’exploiter sur HANA, sur site et dans le cloud. Depuis cette date, le fournisseur a largement incité ses clients à exploiter sa base travaillant en mémoire sur laquelle il développe sa quatrième génération d’applications d’entreprise, S4/HANA.

Parmi les clients de l’offre figurent notamment Airbus, Adidas, Dell ou EMC. Le mois dernier, le DG de la filiale française de SAP, Marc Genevois, indiquait que tous les clients français de SAP partaient maintenant d’emblée sur HANA, ce qui confirmait l’adhésion à la plateforme. La filiale a signé 84 clients entièrement nouveaux sur le troisième trimestre 2015.