Una vulnerabilità critica, con un punteggio di gravità di 10 su 10 sulla scala CvSS (il sistema di valutazione delle vulnerabilità comuni), è stata portata alla luce e riguarda i clienti e gli utilizzatori dell’ERP (Enterprise Resource Planning) di SAP.
La criticità è incredibilmente grave, in quanto lo sfruttamento del bug potrebbe permettere ad un aggressore di sottrarre informazioni sensibili, cancellare file, eseguire codice dannoso come malware, cryptoware e altri, oltre a eseguire sabotaggi e altro ancora.
SAP, leader indiscusso nella realizzazione di software ERP, fornisce direttamente queste soluzioni per la gestione di finanze, logistica, planning, rapporto con i clienti, risorse umane e molto altro.
Per questa loro particolarità, i sistemi ERP di SAP contengono molte informazioni sensibili.
Indice degli argomenti
Vulnerabilità critica nell’ERP di SAP: quali rischi
Secondo un avviso del Department of Homeland Security statunitense, il successo dello sfruttamento del bug aprirebbe la porta agli aggressori per:
- leggere e modificare i record finanziari;
- cambiare i dettagli bancari;
- leggere e sottrarre le informazioni personali;
- scansionare i processi di acquisto;
- sabotare o interrompere le operazioni;
- ottenere l’esecuzione di comandi del sistema operativo;
- cancellare o modificare tracce, registri e altri file.
Il bug è stato denominato RECON (Remotely Exploitable Code On NetWeaver) dai ricercatori che lo hanno trovato e portato alla luce e riguarda più di 40mila clienti SAP.
SAP, dal canto suo, ha agito rapidamente per risolvere la criticità e ha rilasciato una patch di sicurezza per il problema martedì scorso.
Secondo l’azienda stessa, un aggressore che sfrutta questa vulnerabilità avrebbe accesso illimitato alle informazioni e ai processi aziendali critici in una varietà di scenari diversi.
Un problema legato a Java
Il bug, stando a quanto scoperto, colpisce un componente di default presente in ogni applicazione SAP che esegue lo stack tecnologico Java di SAP NetWeaver.
Questo tassello tecnico è utilizzato in molte soluzioni aziendali SAP, come SAP S/4HANA, SAP SCM, SAP CRM, SAP CRM, SAP Enterprise Portal, SAP Solution Manager (SolMan) e molti altri, hanno detto i ricercatori.
Per NetWeaver Java, che è un componente di base fondamentale per diversi prodotti SAP, l’impatto specifico varierebbe a seconda del sistema interessato. In particolare, ci sono diverse soluzioni SAP in esecuzione su NetWeaver Java che condividono una particolarità comune: sono iperconnesse attraverso API e interfacce. In altre parole, queste applicazioni sono collegate ad altri sistemi, sia interni che esterni, di solito sfruttando relazioni di fiducia ad alto privilegio.
Il bug consentirebbe a un aggressore non autenticato (non è richiesto alcun nome utente o password) di creare un nuovo utente SAP con i massimi privilegi, bypassando tutti i controlli di accesso e autorizzazione (come la segregazione dei compiti, la gestione delle identità, e le soluzioni di governance, di rischio e di conformità) e ottenendo il pieno controllo dei sistemi SAP.
E anche se questo è già abbastanza grave, il rischio della vulnerabilità RECON aumenta quando le soluzioni interessate sono esposte a Internet, per connettere le aziende con i partner commerciali, i dipendenti e i clienti.
Questi sistemi – secondo le stime dei ricercatori ce ne sono almeno 2.500 – hanno una maggiore probabilità di attacchi a distanza, hanno detto i ricercatori.
Di queste installazioni vulnerabili, il 33% si trova in Nord America, il 29% in Europa e il 27% in Asia-Pacifico.
A causa del tipo di accesso illimitato che un aggressore otterrebbe sfruttando sistemi non protetti, questa vulnerabilità può anche costituire una carenza legale nei controlli IT di un’impresa per i mandati di regolamentazione, con un impatto potenziale sulla conformità finanziaria e sulla privacy (GDPR).
Vulnerabilità critica nell’ERP di SAP: come mitigare il rischio
La patch di SAP dovrebbe essere applicata immediatamente, raccomandano i ricercatori – anche se a causa della complessità delle applicazioni mission-critical e delle limitate finestre di manutenzione, le organizzazioni sono spesso impossibilitate ad applicare rapidamente gli aggiornamenti di sicurezza SAP.
Per i clienti SAP, le vulnerabilità critiche come RECON evidenziano la necessità di proteggere le applicazioni mission-critical, estendendo i programmi di cyber security e di conformità esistenti per garantire che queste applicazioni non siano più in un punto cieco.
Questi sistemi sono la linfa vitale del business e nell’ambito di rigorosi requisiti di conformità, quindi non c’è semplicemente nulla di più importante da assicurare.
