En bref

  • CVE-2026-44747 : écriture hors limites (out-of-bounds write) dans le noyau SAP NetWeaver AS ABAP, CVSS 9.9 Critical
  • Systèmes affectés : noyaux ABAP 7.22 à 9.20 — couvre la quasi-totalité des déploiements SAP ERP, S/4HANA et Business Suite mondiaux
  • Action urgente : appliquer SAP Security Note 3747367 (SAP Security Patch Day juillet 2026) sans délai

Les faits

Le 14 juillet 2026, SAP a publié son Security Patch Day mensuel révélant CVE-2026-44747 comme la vulnérabilité la plus sévère du lot avec un score CVSS v3.1 de 9.9 sur 10. Classée CWE-787 (écriture hors limites / out-of-bounds write), cette faille réside dans la couche de gestion mémoire du noyau SAP NetWeaver Application Server ABAP — le moteur d'exécution sur lequel reposent la grande majorité des déploiements SAP ERP, S/4HANA et SAP Business Suite à travers le monde. Selon The Hacker News et SecurityWeek, la SAP Note 3747367 figure au sommet des priorités de patch du mois pour les équipes SAP Basis. Le vecteur CVSS complet — CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H — traduit une exploitabilité réseau à faible complexité, nécessitant seulement une authentification minimale (compte utilisateur SAP standard), sans interaction de la victime, avec un impact total sur la confidentialité, l'intégrité et la disponibilité, et une portée étendue (Changed scope) capable d'affecter des ressources au-delà du composant vulnérable.

La cause racine est une erreur logique dans la façon dont le noyau ABAP alloue et gère les tampons mémoire lors de certains chemins d'exécution. Lorsqu'un attaquant envoie une requête spécialement forgée, le noyau écrit des données au-delà de la limite du tampon mémoire prévu. Dans le contexte de systèmes d'exploitation modernes, une écriture hors limites peut écraser des métadonnées de tas adjacentes, des pointeurs de fonctions ou des structures de données sensibles liées à la sécurité, permettant in fine de rediriger le flux d'exécution du programme. Les conséquences vont de l'exécution de code arbitraire à distance (RCE) jusqu'à l'exfiltration de données métier critiques ou la mise hors service complète de l'application SAP.

Le scénario d'attaque concret implique un attaquant possédant un compte SAP à faibles privilèges — un utilisateur standard, un compte de service, un compte partenaire B2B ou des identifiants obtenus par phishing — envoyant des requêtes manipulées vers un noeud ICF (Internet Communication Framework) exposé sur le serveur applicatif SAP. L'ICF est le framework HTTP embarqué dans AS ABAP qui expose les services web SAP (Fiori, portails, interfaces REST/SOAP). Le noyau ABAP traite ces requêtes et la condition d'écriture hors limites est déclenchée. Selon la disposition du tas (heap) au moment de l'exploitation, les conséquences vont du crash applicatif (DoS) à la divulgation d'informations en mémoire incluant des données de paie, financières et de chaîne d'approvisionnement, jusqu'à une corruption mémoire exploitable pour exécuter du code arbitraire avec les droits du processus noyau.

L'étendue des versions affectées est particulièrement préoccupante : les lignes de noyau KRNL64NUC 7.22 et 7.22EXT, KRNL64UC 7.22 et 7.22EXT, ainsi que les noyaux 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18, 9.19 et 9.20 sont tous concernés. Cela couvre l'intégralité du parc SAP actuellement en maintenance active — depuis les lignes 7.22 encore en maintenance étendue pour les paysages legacy jusqu'aux versions 9.x récentes. SAP estime que plus de 400 000 entreprises utilisent ses logiciels dans le monde, dont une majorité s'appuient sur AS ABAP. Cette couverture exceptionnellement large fait de CVE-2026-44747 l'une des failles SAP les plus impactantes divulguées en 2026.

SAP et le cabinet de sécurité Onapsis ont documenté une mesure d'atténuation temporaire : les administrateurs peuvent désactiver tous les noeuds ICF portant une propriété spécifique via la transaction SICF. Cependant, cette atténuation entraîne des conséquences opérationnelles majeures — elle bloque l'accès aux transactions SAP via SAP GUI for HTML (accès navigateur), qui constitue l'interface principale dans de nombreux environnements cloud et de télétravail. Pour la plupart des organisations, cette mesure palliative n'est pas viable à long terme, ce qui fait de l'application du correctif au niveau du noyau la seule remédiation réelle. Les correctifs de noyau SAP nécessitent généralement une fenêtre de maintenance planifiée et un redémarrage du système d'application.

L'agence de cybersécurité de Singapour (CSA-SG) a émis une alerte indépendante (Advisory AL-2026-087) le 15 juillet 2026, soulignant l'attention réglementaire internationale que cette faille a suscitée. Selon l'analyse de SOCRadar publiée le jour même du Patch Day, CVE-2026-44747 figure parmi les vulnérabilités les plus urgentes du SAP Security Patch Day juillet 2026, aux côtés de CVE-2026-44748 dans SAP Commerce Cloud. Au 18 juillet 2026, aucune exploitation active n'est confirmée par SAP, Onapsis ou les agences gouvernementales. Toutefois, l'expérience des failles SAP NetWeaver antérieures — notamment CVE-2025-31324 exploitée par des groupes APT dans les 72 heures suivant la divulgation — démontre que la fenêtre avant exploitation active peut être extrêmement courte une fois les détails de la note de sécurité diffusés publiquement.

Le score CVSS 9.9 — et non le maximum 10.0 — s'explique par la nécessité d'une authentification minimale (PR:L). Cette légère exigence est trompeuse dans le contexte SAP : un compte utilisateur standard peut être obtenu via ingénierie sociale, phishing ciblé, compromission d'un prestataire tiers disposant d'un accès portail SAP, ou achat de credentials compromis. Les groupes cybercriminels spécialisés dans les attaques sur ERP comme FIN13, et les acteurs APT étatiques (APT40, Sandworm), disposent de ressources suffisantes pour franchir cette barrière. La qualifier de protection significative serait une erreur d'appréciation stratégique.

D'après les données publiées par BleepingComputer le 14 juillet 2026, SAP a également corrigé ce même jour des vulnérabilités critiques dans SAP NetWeaver Java Application Server, SAP BusinessObjects et SAP Approuter, formant un ensemble de correctifs à déployer en coordination. Les équipes SAP Basis qui planifient une fenêtre de maintenance devraient regrouper ces correctifs pour minimiser les interruptions de service tout en maximisant la réduction de surface d'attaque. Le délai moyen de correction des vulnérabilités SAP critiques en entreprise dépasse 30 jours selon les études d'Onapsis, en raison de la complexité des tests de régression et des cycles de changement ITIL — un délai qui contraste avec la rapidité d'exploitation observée sur les failles SAP NetWeaver récentes.

Impact et exposition

CVE-2026-44747 expose potentiellement plusieurs centaines de milliers d'installations SAP à travers le monde. Toute organisation exécutant SAP NetWeaver AS ABAP avec un noyau dans la plage affectée (7.22 à 9.20 selon les sous-versions listées) est vulnérable dès lors qu'un utilisateur authentifié à faibles privilèges peut atteindre le serveur applicatif via le réseau. Les environnements cloud SAP BTP avec AS ABAP managé et les systèmes on-premises sont tous deux concernés si le noyau n'est pas patché.

La surface d'attaque réelle est significativement plus large qu'une faille nécessitant des droits élevés. Dans un contexte de supply chain numérique, des centaines de fournisseurs, partenaires et prestataires peuvent disposer d'accès SAP limités via des portails SRM, SNC ou des interfaces RFC. Un attaquant externe qui compromet un seul compte partenaire peut potentiellement atteindre des données critiques — financières, RH, production, logistique — stockées dans le coeur du système SAP. Les secteurs les plus exposés sont la manufacture, le retail, les services financiers et le secteur public, tous fortement dépendants de SAP NetWeaver AS ABAP comme backbone ERP.

Les impacts potentiels vont de l'exécution de code arbitraire sur le serveur d'application SAP (pouvant conduire à la compromission de la base de données HANA ou Oracle sous-jacente) à la divulgation massive de données sensibles, en passant par l'interruption des opérations métier critiques et le mouvement latéral vers d'autres composants du paysage SAP. La portée étendue (S:C dans le vecteur CVSS) indique que la compromission du noyau ABAP peut affecter des ressources au-delà du composant vulnérable lui-même, notamment le système d'exploitation hôte et les systèmes connectés via RFC.

Aucune exploitation active n'est confirmée au 18 juillet 2026, ce qui laisse une fenêtre d'action précieuse aux équipes de sécurité. Cependant, les précédentes failles SAP NetWeaver (CVE-2025-31324, CVE-2025-42999) ont toutes fait l'objet d'exploitation active dans les jours suivant leur divulgation. La probabilité d'exploitation dans les deux semaines suivant la publication de SAP Note 3747367 doit être considérée comme élevée par toute organisation n'ayant pas encore appliqué le correctif.

Recommandations immédiates

  • Appliquer SAP Security Note 3747367 immédiatement — disponible dans le SAP Support Portal pour tous les noyaux affectés (7.22 à 9.20)
  • Si le patch immédiat est impossible, désactiver les noeuds ICF non essentiels via la transaction SICF en attendant la fenêtre de maintenance
  • Auditer les comptes SAP à faibles privilèges ayant accès réseau au serveur applicatif, en particulier les comptes partenaires/fournisseurs (RFC, portail SRM, SNC)
  • Activer la journalisation ICF détaillée et configurer des alertes sur les anomalies de requêtes (volume inhabituel, patterns de chemin hors normes)
  • Vérifier la conformité du Security Baseline SAP via la transaction RSECNOTE pour confirmer que la note 3747367 est bien appliquée
  • Consulter le SAP Security Patch Day juillet 2026 et l'Advisory CSA Singapore AL-2026-087 pour la liste complète des correctifs à déployer en parallèle

⚠️ Urgence

Bien qu'aucune exploitation active ne soit confirmée au 18 juillet 2026, le CVSS 9.9 de CVE-2026-44747 et la couverture massive des systèmes SAP affectés imposent un traitement prioritaire. Les précédentes failles SAP NetWeaver ont été exploitées par des APT dans les 72 heures suivant leur divulgation. Planifiez le déploiement de SAP Note 3747367 dans les 48 à 72 heures.

Comment savoir si je suis vulnérable ?

Dans SAP, exécutez la transaction SM51 pour identifier la version exacte du noyau ABAP. Comparez avec les versions affectées : KRNL64NUC/KRNL64UC 7.22 ou 7.22EXT, ou Kernel 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18, 9.19, 9.20. Exécutez ensuite la transaction RSECNOTE et recherchez la note 3747367 : si elle n'apparaît pas avec le statut "Implemented", votre système est vulnérable.

Votre infrastructure SAP est-elle exposée ?

Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités SAP et ERP critiques.

Demander un audit

Sources et références