Sap chiude a chiave i suoi database. O almeno ci sta provando, pena un danno di sicurezza e d’immagine non da poco. Secondo Trustwave, infatti, sarebbero vulnerabili numerose versioni dell’Adaptive Server Enterprise (Ase) del vendor, un sistema per la gestione di basi di dati relazionali progettata per sistemi Linux, Unix e Windows e adatta a supportare alti volumi di transazioni. L’errore risiederebbe, secondo il ricercatore Martin Rakhmanov, nel meccanismo implementato per accedere ad Ase. Sap, infatti, ha inserito nel suo pacchetto una modalità di tipo “challenge and response” (sfida e risposta) che prevede l’utilizzo di chiavi segrete ed è basato su una funzione unidirezionale. Lo scopo del meccanismo è stabilire indirettamente se l’utente possiede la chiave di accesso, senza però rivelarla. Chi “rivendica” le credenziali deve provare la propria identità rispondendo alla sfida, rappresentata da un numero casuale e segreto.
La buona notizia – anche se parziale – è che eventuali hacker non riuscirebbero ad accedere come amministratori, perché l’account “messo a disposizione” non disporrebbe dei privilegi necessari. Purtroppo però, secondo Rakhmanov, all’interno di Ase esisterebbero anche altre falle che, se sfruttate in combinazione, sarebbero in grado di lasciare addirittura tutto il database in balia dei cybercriminali.
Il ricercatore di Trustwave ha pubblicato su GitHub una prova di effettivo sfruttamento della falla, per cui Sap ha però prodotto le contromisure. Il vendor ha infatti rilasciato delle patch che dovrebbero risolvere tutti i problemi di sicurezza. Sono state rinominate Ase 15.7 Sp132 e Ase 16.0 Sp01. Le versioni vulnerabili dell’Adaptive Server Enterprise sono le seguenti: 2.5, 15, 15.5, 15.7 e 16.