Un an de vulnérabilités SAP

CERT-DVT Sécurité SAP

English version

dev-light.png

Bilan rapide

 

Le 13 décembre était le dernier « SAP Security Tuesday patch » de l’année. Il est donc possible de faire un bilan des vulnérabilités publiées au cours de cette année 2016.

Encore une fois SAP couvre un large panel de type de vulnérabilités : missing aurhorization check, information disclosure, clickjacking, XSS, XXE, CSRF, XSRF, SSRF, SQL injection, code injection, OS injection, directory traversal, déni de service, deserialisation, etc. Pour un total de 315 vulnérabilités cette année, pratiquement identique à 2015, mais surtout sur la même tendance que ces 4 dernières années :

Cependant, la première chose remarquable est la diminution du nombre de vulnérabilités critiques :

Avec 1.2% des zero days remontées par devoteam 😉

Malgré un nombre total de notes de sécurité constant, la criticité de celles-ci est en baisse depuis quelques années. Ce qui ne veut pas dire faible… avec une moyenne de 6 à 7 corrections en priorités hautes par mois, cela reste encore élevé et non négligeable.

De fait la distribution de la criticités des notes a changé en 2016 :

Cette année plus des deux tiers des vulnérabilités sont en priorité moyenne. Nous y retrouvons en majorité, comme pour 2015 et 2014, les problèmes de type « missing authorization check » (60). Mais aussi des corrections que l’on pourrait considérer comme note d’implémentation ou de conseil : comme les notes concernant les « white list RFC », 22 notes, et les « Switchable authorization check », 25 notes.

Ces notes OSS ne corrigent pas forcément un bug de sécurité dans un programme, mais apportent des nouvelles fonctionnalités, ou des méthodes pour sécuriser un flux ou un composant particulier du système SAP.

Enfin, il faut toujours prendre en considération que ces chiffres concernent l’ensemble des solutions SAP. Ci-dessous un extrait de la distribution des notes de sécurité par composant :

Un tiers des correctifs est potentiellement présent dans le core du système SAP. Le reste est dépendant des solutions et des composants installés en plus dans les paysages SAP des entreprises.

 

dev-target.png

Conclusion

 

  • SAP fourni de plus en plus d’outils et de solutions standards pour palier à des risques spécifiques aux systèmes SAP.
  • Le nombre de vulnérabilités critiques baisse de façon constante depuis 5 ans (658 en 2011, pour 83 en 2016).
  • Même si le nombre de correctifs reste élevé, SAP continue ses efforts pour sécuriser ses systèmes, aussi complexes qu’ils soient. Maintenant reste à savoir si les entreprises suivront ces efforts…

 

Yvan Genuer