Pour assurer la maintenance SAP, les entreprises établissent une connexion avec SAP à travers le SAPROUTER.

Le SAPROUTER est un exécutable fonctionnant comme un reverse proxy. Il permet d’analyser et filtrer les flux applicatifs SAP. Il est, toutefois, important de rappeler que le SAPROUTER n’a d’utilité qui si il est utilisé avec un FIREWALL.

Voici un exemple d’architecture réseau pour établir la connexion entre une société utilisatrice SAP et SAP :

Cette architecture est sécurisée si tous les patch sont appliqués et les bonnes pratiques sécurité sont bien appliquées.

Dans le cas contraire des vulnérabilités peuvent être exploitées comme nous allons le montrer.

Considérons l’architecture suivante :

Il suffit de scanner les services disponibles sur l’adresse IP exposée :

Avec cette information, on peut accéder à la table de routage et déterminer l’adresse de l’application SAP :

Avec ces informations et l’exploitation de failles connues, un attaquant malveillant peut accéder, depuis l’extérieur, à votre paysage SAP