Suite à une information révélant la présence d'une vulnérabilité dans son backend tournant sous le framework NetWeaver de SAP, le fabricant de puces graphiques Nvidia a déconnecté son site de service à la clientèle https://nvcare.nvidia.com. Le framework sert également à faire tourner plusieurs autres applications de gestion de SAP. La vulnérabilité dans NetWeaver a été identifiée il y a trois ans environ par l'éditeur allemand et celui-ci avait fourni un correctif. Mais il semble que Nvidia ne l'avait pas encore déployé.

La personne ayant découvert et rendu public la vulnérabilité est basée en Chine. Elle s'est simplement identifiée sous le pseudonyme de « Finger ». Ce dernier aurait informé Nvidia de la présence du bug le 21 novembre dernier. Dans son rapport, « Finger » précise dans un paragraphe consacré au statut du bug qu'il n'a pas été en mesure « de contacter le fournisseur ou que le bug a été manifestement ignoré par le fournisseur». Son rapport indique également qu'il a décidé de rendre cette information publique le 5 janvier.

Les données des clients compromises ?

Nvidia a déclaré dans un communiqué qu'il avait eu connaissance du problème ce mercredi et qu'il avait décidé de fermer son site jusqu'à ce que la faille soit corrigée. Le site est de nouveau accessible. « À ce stade, rien ne nous permet de dire que les données de nos clients ont été compromises », a écrit Bob Sherbin, de la direction des communications de Nvidia, dans un courriel. « Nous continuons à enquêter sur l'affaire. Le rapport a été publié sur le forum chinois WooYun.org qui répertorie les vulnérabilités, avant d'être reposté sur le forum très suivi de Full Disclosure.

« La vulnérabilité permettrait à un pirate non authentifié de prendre à distance le contrôle total de la plate-forme du portail SAP NetWeaver », a déclaré Mariano Nunez, directeur général de Onapsis, une société basée à Boston, spécialiste de la sécurité des solutions SAP. « Cela inclut la possibilité de créer un utilisateur ayant la qualité d'administrateur contrôlé par l'attaquant, d'exécuter des commandes sur les systèmes d'exploitation et de mettre l'ensemble du système hors ligne », a-t-il expliqué par courriel. « Par ailleurs, de nombreux systèmes SAP NetWeaver Portal sont directement connectés à Internet. Cela veut dire que n'importe qui, où qu'il soit, peut exploiter la faille à distance ».

Une faille critique pour les solutions SAP

« Une fois que NetWeaver est compromis, l'attaquant peut obtenir l'accès à l'ERP, au CRM, à la chaîne d'approvisionnement ou aux systèmes de BI », a déclaré Mariano Nunez. Ces dernières années, SAP a lancé une campagne pour améliorer la sécurité de ses produits. Mais les chercheurs en sécurité ont remarqué que de nombreux clients de SAP omettent de mettre à jour leurs logiciels, ce qui les expose à des attaques qui pourraient compromettre des informations confidentielles.