Onapsis a publié récemment des rapports de sécurité mettant en garde contre des failles dans les configurations SAP HANA et SAP Trex. Une faille classée comme critique permet par exemple d'obtenir des privilèges de compte élevés, d'avoir un accès illimité à des données d'entreprise et de manipuler arbitrairement des informations provenant de bases de données, notamment des données sensibles sur les clients et les collaborateurs. La laboratoire a également rédigé plusieurs rapports sur la mise à jour critique publiée par Oracle en juillet, qui atteint un nombre record de 276 patchs. Le niveau de menace augmente en effet constamment pour les solutions Oracle : des failles permettent des attaques de type cross-site scripting ou détournement de clic. Ces mécanismes ciblent aussi des visiteurs de sites Web externes tels que des clients ou des partenaires.
Les failles annoncées par Onapsis en collaboration avec SAP le 21 juillet représentent un risque potentiel pour plus de 10 000 clients SAP et opérateurs de différentes versions de HANA. Une faille critique dans les systèmes HANA permet par exemple de lancer à distance une attaque par force brute pour usurper des privilèges élevés et obtenir un accès illimité à n'importe quelle information d'entreprise. En exploitant d'autres failles, les hackers peuvent aussi manipuler des entrées du journal d'audit, dissimuler des attaques et accéder à des données ou les altérer.
HANA permet la réalisation de transactions, l'analyse prédictive d'informations ainsi que l'analyse et le traitement de données textuelles ou spatiales. Les entreprises peuvent ainsi réagir en temps réel. Une faille classée comme critique permet aux cyber-attaquants d'accéder à des informations stratégiques pour l'entreprise concernant par exemple ses clients et ses salariés, les calculs de prix, la chaîne d'approvisionnement, la veille stratégique, les budgets, la planification et les prévisions.
Le détournement de clic (ou clickjacking) est un mécanisme d'attaque apparu récemment dans l'environnement SAP. Si ce piratage réussit, les clients ou partenaires qui visitent un site Web attaqué se retrouvent à cliquer sur des liens ou des boutons cachés et non sur les options de menu qu'ils pensent activer. Ces clics déclenchent des actions indésirables sur leur ordinateur.
Côté Oracle, Onapsis a aussi constaté une aggravation des risques au vu du nombre de patchs publiés en juillet 2016 lors de la mise à jour critique de l'éditeur. Cette mise à jour compte en effet 276 patchs, soit deux fois plus que la mise à jour précédente, publiée en avril 2016. Les patchs de juillet corrigent notamment 15 failles que le laboratoire Onapsis Research Labs avait signalées à Oracle. Ces failles concernaient 49 produits Oracle différents. Le danger encouru par les clients Oracle est aggravé par le fait que 60 % des failles peuvent être exploitées à distance : les hackers peuvent ainsi lancer des attaques à partir de n'importe quel ordinateur en réseau. Onze des failles révélées par le laboratoire de recherche concernant la suite Oracle e-Business permettent de recourir à du cross-site scripting, une technique grâce à laquelle les hackers peuvent transmettre du code malveillant au visiteur d'un site Web.
Depuis sa création, Onapsis a signalé plus de 300 failles dans SAP et Oracle et produit plus de 150 rapports de sécurité, dont plus de 35 concernant HANA. Il travaille en étroite collaboration avec les équipes responsables de la sécurité des produits chez SAP et Oracle.