Notre Blog

Sécurisation de SAP

on novembre 19, 2018

Sécurisation d’un des ERP les utilisés: SAP

Suite à l’intéressante vidéo de Yvan Genuer à la grehack 2018 sur des hacks possibles sur SAP, j’ai voulu regarder un peu plus en détail les dernières failles sur les trois dernières années.

Sap est un ERP mondialement connu et largement utilisé dans les entreprises de toutes tailles.

Si on regarde la liste des vulnérabilités sur les années de 2016 à 2018 (198 !) avec un classement de criticité au-dessus de 7/10 on obtient :

cve >7
2018 5
2017 13 dont 3 avec une criticité de 10 !
2016 16 dont 4 avec une criticité de 10 et 3 d’une criticité de 9

Autant dire que l’on est face à une bombe dormante.

L’ERP peut être difficile à mettre à jour, car il est utilisé à plusieurs niveaux de l’entreprise. Il rend des services dans différents métiers comme :

  • La logistique (gestion des achats et des stocks, gestion de la production, administration des ventes, gestion de la qualité, gestion de la maintenance )
  • La comptabilité (comptabilité financière, contrôle de gestion, gestion des projets, trésorerie )
  • Les ressources humaines ( données du personnel, gestion des compétences)

 

Si le patch ou la montée de version n’est pas possible, il faut impérativement réfléchir à une sécurisation en périphérie.

Plusieurs pistes sont possibles pour réduire l’impact des vulnérabilités :

  • Segmentation du réseau avec une politique de sécurité sur l’accès aux ressources SAP. (nb: de nombreux ports sont ouverts par SAP, il est nécessaire de bien filtrer les accès aux services)
  • Une surveillance des journaux d’événements générés par les ressources SAP, par les socles qui hébergent le service SAP (os serveur), par les équipements de sécurité (waf,firewall,ids)
  • Une corrélation de tous ces événements avec des scénarios réfléchis et adaptés par rapport aux exploits possibles et publiés. (montée de privilèges, ajout de base, modification de données sensibles)

Outils:

Détection de vulnérabilités (liste non exhaustive):

  • Gratuit: Nmap , Openvas, ERPSCAN
  • Payant: Nessus

D’autre vidéo de Yvan Genuer sur SAP:

Liens externes:

piercing-saprouter-with-metasploit

SAP Penetration Testing Using Metasploit

PENTEST EN ENVIRONNEMENT SAP

Un hack de SAP CRM détaillé par ERPScan

 

adminSécurisation de SAP

Related Posts

Take a look at these posts