Vulnerabilità critica nell’ERP di SAP mette a rischio sistemi e dati aziendali: i dettagli

Una vulnerabilità critica, con un punteggio di gravità di 10 su 10 sulla scala CvSS (il sistema di valutazione delle vulnerabilità comuni), è stata portata alla luce e riguarda i clienti e gli utilizzatori dell’ERP (Enterprise Resource Planning) di SAP.

La criticità è incredibilmente grave, in quanto lo sfruttamento del bug potrebbe permettere ad un aggressore di sottrarre informazioni sensibili, cancellare file, eseguire codice dannoso come malware, cryptoware e altri, oltre a eseguire sabotaggi e altro ancora.

SAP, leader indiscusso nella realizzazione di software ERP, fornisce direttamente queste soluzioni per la gestione di finanze, logistica, planning, rapporto con i clienti, risorse umane e molto altro.

Per questa loro particolarità, i sistemi ERP di SAP contengono molte informazioni sensibili.

Indice degli argomenti

Vulnerabilità critica nell’ERP di SAP: quali rischi

Secondo un avviso del Department of Homeland Security statunitense, il successo dello sfruttamento del bug aprirebbe la porta agli aggressori per:

  • leggere e modificare i record finanziari;
  • cambiare i dettagli bancari;
  • leggere e sottrarre le informazioni personali;
  • scansionare i processi di acquisto;
  • sabotare o interrompere le operazioni;
  • ottenere l’esecuzione di comandi del sistema operativo;
  • cancellare o modificare tracce, registri e altri file.

Il bug è stato denominato RECON (Remotely Exploitable Code On NetWeaver) dai ricercatori che lo hanno trovato e portato alla luce e riguarda più di 40mila clienti SAP.

SAP, dal canto suo, ha agito rapidamente per risolvere la criticità e ha rilasciato una patch di sicurezza per il problema martedì scorso.

WHITEPAPER

Quali elementi considerare per capire se si è vulnerabili agli hacker?

Secondo l’azienda stessa, un aggressore che sfrutta questa vulnerabilità avrebbe accesso illimitato alle informazioni e ai processi aziendali critici in una varietà di scenari diversi.

Un problema legato a Java

Il bug, stando a quanto scoperto, colpisce un componente di default presente in ogni applicazione SAP che esegue lo stack tecnologico Java di SAP NetWeaver.

Questo tassello tecnico è utilizzato in molte soluzioni aziendali SAP, come SAP S/4HANA, SAP SCM, SAP CRM, SAP CRM, SAP Enterprise Portal, SAP Solution Manager (SolMan) e molti altri, hanno detto i ricercatori.

Per NetWeaver Java, che è un componente di base fondamentale per diversi prodotti SAP, l’impatto specifico varierebbe a seconda del sistema interessato. In particolare, ci sono diverse soluzioni SAP in esecuzione su NetWeaver Java che condividono una particolarità comune: sono iperconnesse attraverso API e interfacce. In altre parole, queste applicazioni sono collegate ad altri sistemi, sia interni che esterni, di solito sfruttando relazioni di fiducia ad alto privilegio.

Il bug consentirebbe a un aggressore non autenticato (non è richiesto alcun nome utente o password) di creare un nuovo utente SAP con i massimi privilegi, bypassando tutti i controlli di accesso e autorizzazione (come la segregazione dei compiti, la gestione delle identità, e le soluzioni di governance, di rischio e di conformità) e ottenendo il pieno controllo dei sistemi SAP.

E anche se questo è già abbastanza grave, il rischio della vulnerabilità RECON aumenta quando le soluzioni interessate sono esposte a Internet, per connettere le aziende con i partner commerciali, i dipendenti e i clienti.

Questi sistemi – secondo le stime dei ricercatori ce ne sono almeno 2.500 – hanno una maggiore probabilità di attacchi a distanza, hanno detto i ricercatori.

Di queste installazioni vulnerabili, il 33% si trova in Nord America, il 29% in Europa e il 27% in Asia-Pacifico.

A causa del tipo di accesso illimitato che un aggressore otterrebbe sfruttando sistemi non protetti, questa vulnerabilità può anche costituire una carenza legale nei controlli IT di un’impresa per i mandati di regolamentazione, con un impatto potenziale sulla conformità finanziaria e sulla privacy (GDPR).

Vulnerabilità critica nell’ERP di SAP: come mitigare il rischio

La patch di SAP dovrebbe essere applicata immediatamente, raccomandano i ricercatori – anche se a causa della complessità delle applicazioni mission-critical e delle limitate finestre di manutenzione, le organizzazioni sono spesso impossibilitate ad applicare rapidamente gli aggiornamenti di sicurezza SAP.

Per i clienti SAP, le vulnerabilità critiche come RECON evidenziano la necessità di proteggere le applicazioni mission-critical, estendendo i programmi di cyber security e di conformità esistenti per garantire che queste applicazioni non siano più in un punto cieco.

Questi sistemi sono la linfa vitale del business e nell’ambito di rigorosi requisiti di conformità, quindi non c’è semplicemente nulla di più importante da assicurare.

WHITEPAPER

Sicurezza: perchè puntare su un approccio zero trust?

Sicurezza dei dati

@RIPRODUZIONE RISERVATA
Sorgente articolo:
Vulnerabilità critica nell’ERP di SAP mette a rischio sistemi e dati aziendali: i dettagli

User ID Campaign ID Link
d9a95efa0a2845057476957a427b0499 l-99999987 Il tuo sito web Personalizzato
d9a95efa0a2845057476957a427b0499 l-99999978 Ugo Fiasconaro
d9a95efa0a2845057476957a427b0499 l-99999988 Parola chiave nella ricerca
d9a95efa0a2845057476957a427b0499 l-99999997 Video Conferenze per B2B