Vulnérabilité du service SAP

Deux vulnérabilités SAP ont été discutées ces derniers mois sur les listes de sécurité.

La première concerne un problème lié à l'installation par défaut de SAP R/3. Comme pour la plupart des problèmes de configuration (avec la présence de comptes par défaut), le Cert-IST n'a pas émis d'avis sur ces problèmes.

Le deuxième problème traite d'une vulnérabilité plus ancienne qui a fait l'objet d'une nouvelle discussion dans une des listes de sécurité surveillée par le Cert-IST, avec la publication des détails de mise en œuvre de la vulnérabilité.

1) Mots de passe par défaut sur les versions SAP R/3 2.0 à 4.6D

Contexte

L'installation de SAP R/3 se caractérise par l'installation de quatre "mandants" qui gèrent indépendamment leurs comptes utilisateurs (compte de connexion/mot de passe). Ces mandants sont les suivants :

• SAP R/3,
• Copie de SAP R/3,
• Earlywatch,
• Mandant de production.

Pour chaque mandant cité précédemment, les comptes utilisateurs suivants sont installés par défaut avec des mots de passe standard  :

• SAP* super utilisateur SAP,
• SAPCPIC utilisé pour exécuter les RFC (Remote Function Calls),
• DDIC utilisateur de maintenance pour le dictionnaire ABAP,
• EARLYWATCH présent essentiellement sur le mandant 066.

 Risque

Si les mots de passe standard des comptes SAP ne sont pas modifiés après l'installation, toute personne connaissant ces mots de passe par défaut et disposant de l'interface graphique cliente (SAPGUI), peut se connecter à SAP et obtenir ainsi des droits étendus sur le système.

Solution

La solution préconisée est la modification après installation de SAP de tous les mots de passe utilisateurs installés par défaut.

Pour plus d'informations

• Sécurisation des comptes SAP* et DDIC : http://help.sap.com/saphelp_45b/helpdata/en/52/671785439b11d1896f0000e8322d00/content.htm
• Avis BugTraq 289176 : http://online.securityfocus.com/archive/1/289176
• Copy de l'avis de sécurité avec mise à jour : http://www.hoelzner.de/security/sap_default_passwords.php

2) Accès non autorisé aux données SAP

Contexte

Le système SAP s'interface avec différentes bases de données pour la gestion des données et notamment avec la base de données Oracle.

Un programme d'exploitation a été fourni et utilise la commande " R3trans ". La commande " R3trans " présente sur le client comme sur les serveurs SAP, est la commande permettant sans authentification de tester si la base Oracle est disponible.

Risque

Une vulnérabilité a été découverte dans l'installation par défaut de SAP utilisant le " listener " Oracle (SQL*net version 3.x, 4.x, 6.10). Cette vulnérabilité permet à un attaquant distant utilisant la commande " R3trans " et qui a accès au port d'écoute du " listener " sur le serveur de la base de données, d'accéder sans authentification et sans restriction aux données SAP.

L'exploitation de cette vulnérabilité nécessite la présence et de la même version de la commande " R3trans " sur le poste client SAP comme sur les serveurs SAP ; nous avons eu l'occasion de tester avec succès cette vulnérabilité.

Solution

SAP a émis un avis sur ce problème mais ne prévoit pas de correctif (Note OSS 186119).

Afin de se prémunir contre une telle vulnérabilité, les règles de sécurité suivantes doivent être appliquées :

• le réseau sur lequel se trouvent les serveurs SAP et le serveur de base de données doit être isolé du réseau des clients SAP,
• le port d'écoute du listener (TCP 1521 par défaut) doit être filtré : soit sur les moyens d'interconnexion (garde barrière, routeur) soit en paramétrant le fichier " protocol.ora " situé sur le serveur de base de données pour n'autoriser que les machines explicitement nécessaires.

Pour plus d'informations

• Avis Bugtraq 269967 : http://online.securityfocus.com/archive/1/269967

Conclusion

Le Cert-IST a déjà eu à maintes reprises l'occasion de traiter le type de problèmes rencontrés par SAP : à savoir, tous les produits qui s'installent avec des comptes initialisés par défaut doivent faire l'objet d'une configuration initiale appropriée. D'autre part, dans le contexte SAP, l'éditeur distribue régulièrement des correctifs à ses clients avec les commentaires appropriés. Le Cert-IST a pris contact avec l'éditeur pour recevoir aussi ces correctifs et les analyser. En attendant la réponse, il est prêt a étudier avec les clients actuels utilisateurs de SAP des méthodes de suivi particulières. Nous contacter à cert@Cert-IST.com.