SAP alerte sur une faille critique exploitable dans S/4 Hana

Les administrateurs de S/4 Hana de SAP qui n’ont pas encore installé une mise à jour critique remontant au 11 août dernier sont confrontés à un gros risque. Un exploit d’injection de code circule en effet sur les forums. Le correctif publié comble une faille (CVE-2025-42957) donnant la capacité à un utilisateur à privilège de bas niveau de prendre le contrôle total d’un système SAP en injectant du code dans le langage de programmation ABAP du fournisseur. 

Toutes les versions de S/4 Hana - aussi bien cloud privé que on premise – sont vulnérables. La société de cybersécurité allemande SecurityBridge, qui a indiqué jeudi avoir découvert cet exploit, a expliqué qu’en cas de succès ce dernier donne un accès complet à l'OS ainsi qu’à toutes les données d’un système SAP. Les entreprises n'ayant pas encore appliqué le patch devrait le faire immédiatement. Si aucune compromission d'importance n’a pour l’instant été rapportée selon la société dans un article de blog, elle a vérifié l’exploitation effective de cette brèche de sécurité. « Cela signifie que les attaquants savent déjà comment l’utiliser, laissant les systèmes SAP non corrigés à découvert », font savoir les chercheurs. 

Réaliser un retro-engineering de patch pour créer un exploit est relativement facile dans le langage de programmation ABAP depuis que son code est ouvert à tout le monde, poursuit la société de conseil en cybersécurité. Pour l’heure, on ne sait pas combien d’administrateurs ont déployé la mise à jour. « La faille a un score [CVSS] de 9.9, c’est très élevé », fait savoir quant à lui Juan Pablo Perez-Etchegoyen, CTO du fournisseur de sécurité Onapsis qui rapporte régulièrement des failles SAP. « C’est le genre de vulnérabilité qui nécessite de l’attention de la part des entreprises. Nous pensons que nombre d’entre elles aurait pu appliquer le correctif le jour même ou peu de temps après ». Bien que certains réseaux informatiques puissent nécessiter des temps d’arrêt pour installer les correctifs, il ajoute « nous pensons que la majorité des entreprises devraient avoir à présent implémenté ces patchs ». 

Des risques sur les processus métiers 

Parce que S/4 Hana est un système ERP qui tourne sur une base de données SAP en mémoire, une exploitation pourrait être catastrophique. Dans le cas où les RSSI et les administrateurs ne comprendraient pas les enjeux, SecurityBridge a listé quelques actions qu’un acteur malveillant pourrait faire en cas d’exploitation de faille :  

- Effacement et insertion de données directement dans SAP Database ; 
- Création d’utilisateurs avec SAP ALL ; 
- Téléchargement de hashes de mots de passe ; 
- Modification de processus métiers.

« Historiquement, il était difficile d’appliquer ces correctifs pour ces systèmes complexes, et beaucoup d’entreprises devront faire de lents et minutieux tests avant de les déployer », fait savoir Johannes Ulrich, directeur de la recherche au SANS Institute. « Les systèmes ERP comme SAP sont une cible sérieuse et souvent sous-estimé. S/4 Hana est une base de données en mémoire qui les supportent. Les compromettre peut donner à un attaquant non seulement accès aux données stockées dans un système SAP, mais parfois, plus dangereux encore, donner la possibilité de modifier les données débouchant sur de mauvaises décisions métiers. Ces attaques modifiant les données sont plus sûres et très difficiles à détecter et à contrer ». Et d’ajouter, « Cette faille peut combler un fossé important dans l’arsenal des attaquants pour s’en prendre à ces systèmes. » 

Un environnement complexe ouvert aux failles 

S/4 Hana n’est pas étranger aux vulnérabilités. En avril dernier par exemple, une faille (CVE-2025-31328) de falsification de requête intersite (CSRF, cross site request forgery) a été découverte dans son module Learning Solution. Celle-ci force un utilisateur final à exécuter des actions indésirables sur une application Web sur laquelle il est actuellement authentifié. Avec de l'ingénierie sociale (comme l'envoi d'un lien par e-mail ou par chat), un attaquant peut inciter les utilisateurs d'une application web à exécuter les actions de son choix. En février, une autre (CVE-2025-24868) a été découverte dans le modèle avancé des services d'application étendue (XS) de ce produit. Elle permet à un attaquant non authentifié de créer un lien malveillant redirigeant une victime vers un site web malveillant. 

Eric Mehler, RSSI et blogueur allemand centré sur les failles de sécurité courantes dans S/4 Hana, a indiqué que la complexité de la plateforme peut entraîner différents problèmes à cause d’une mauvaise configuration ou d’une négligence. Parmi lesquels : maintien de comptes SAP utilisant des mots de passe par défaut et des autorisations utilisateurs excessives, autorisation d'un trafic SAP non chiffré ou avec des protocoles obsolètes tels que TLS 1.0, une surveillance et une journalisation insuffisantes du trafic, ainsi que des pratiques de programmation ABAP non sécurisées. 

« Les cybercriminels ciblent très activement les applications SAP », a indiqué M. Perez-Etchegoyen. Le mois dernier, un exploit prêt à l’emploi pour une zero day dans NetWeaver (CVE-23025-31324, de type authentification manquante) a été selon lui publié par un cybergang. « Il est donc plus important que jamais pour les entreprises d'intégrer la sécurité SAP dans leur environnement de sécurité informatique et d'appliquer les correctifs dès que possible ».