Le oltre diecimila aziende che, in tutto il mondo, utilizzano Sap Hana sono potenzialmente a rischio di attacchi cybercriminali, con conseguenze che spaziano dal controllo remoto dei loro sistemi al furto di dati. Onapsis, un vendor di sicurezza It di Boston, fra l’altro partner di Sap, ha diffuso un bollettino in cui segnala ben 21 vulnerabilità software contenute nella piattaforma di in-memory computing utilizzata per database relazionali, integrazione e gestione di applicazioni.
Un prodotto usato dall’87% delle aziende Forbes Global 2000, e le cui vulnerabilità hanno “implicazioni macroeconomiche”, come sottolineato dal Ceo di Onapsis, Mariano Nunez, che già qualche mese fa Nunez aveva svelato che per alcuni grandi clienti della sua azienda una compromissione di Sap Hana sarebbe costata oltre 20 milioni di dollari per ogni minuto in cui la piattaforma fosse rimasta offline.
Delle 21 vulnerabilità scoperte, otto sono classificate come critiche (tali da permettere in teoria il controllo da remoto su sistemi aziendali), sei come ad alto rischio e sette come a medio rischio. Tutte coinvolgono le applicazioni basate su Hana, incluse Sap S/4 Hana e Sap Cloud, e la maggior parte delle falle (17 su 21) sono contenute nelle interfacce Hana TrexNet.
Come reagire? Gli amministratori It possono, innanzitutto, assicurarsi che le comunicazioni di TrexNet siano isolate dalle procedure di crittografia e autenticazione eseguite per i dati e le applicazioni degli end user. Onapsis, poi, si raccomanda di monitorare il traffico http ed Sql per evidenziare eventuali attività sospette. In alcuni casi, inoltre, esistono delle patch in grado di risolvere alcune delle vulnerabilità mentre in altri è necessario modificare alcune configurazioni. “Senza queste modifiche”, ha spiegato l’azienda di It security, “degli assalitori non identificati potrebbero prendere pieno controllo dei sistemi Sap Hana vulnerabili e anche rubare, cancellare o modificare informazioni oppure mettere offline la piattaforma per interrompere processi di business cruciali”.