La sécurité SAP a été longtemps synonyme de gestion des habilitations pour garantir la séparation des tâches.
Cette vision assez réductrice de la sécurité SAP conduit certaines entreprises à affecter tout leur budget sécurité pour la gestion des habilitations.

Quand on analyse les différentes vulnérabilités SAP au niveau du code aussi bien spécifique que standard et les problèmes de configuration SAP, on se rend vite compte que la gestion des habilitations n’empêchera pas un attaquant malveillant d’utiliser des backdoors, des ABAP injection ou d’accéder à l’OS et la base de données en passant par la GATEWAY SAP !

SAP nous alerte sur ce point et pousse les utilisateurs SAP et avoir une approche holistique pour sécuriser leurs applications SAP

Il est nécessaire de sécuriser les configurations SAP pour éviter qu’un attaquant obtienne un utilisateur avec tous les droits (SAP_ALL) en utilisant les failles du message server ou de la GATEWAY.

Nous avons pu démontrer à maintes reprises, lors de pentest, comment un hacker peut en mode black box (sans utilisateur SAP) se créée un utilisateur SAP avec SAP_ALL !