• IL NOSTRO NETWORK:
  • Indigo Communication
  • Technopolis
  • ictBusiness.it
  • TAB Magazine
logo
logo
  • News
  • Focus
  • Eccellenze.it
  • Strategie di Canale
  • Ti trovi in:
  • Home Page
  • News

Vulnerabilità critiche nelle applicazioni Sap, ma le patch ci sono

La stessa Sap ha segnalato l’esistenza di numerose vulnerabilità presenti nelle versioni non aggiornate delle sue applicazioni. Installare le patch è urgente.

Pubblicato il 07 aprile 2021 da Redazione

Nelle applicazioni Sap ci sono pericoli nascosti. Spesso le vulnerabilità sono colpa dei vendor, altre volte sono colpa delle aziende e degli utenti clienti, che non installano aggiornamenti software e patch di sicurezza. Ed è quest’ultimo il caso per quanto riguarda la collezione di vulnerabilità scoperte all’interno di versioni non aggiornate di applicazioni Sap mission-critical, che includono Erp, Crm e sistemi di gestione della supply chain. 

 

Tra l’altro è stato lo stesso vendor a fare la segnalazione in seguito a un lavoro di ricerca eseguito insieme a Onapsis, una società di cybersicurezza e compliance. Anche la Cisa (Cybersecurity and Infrastructure Security Agency), agenzia informatica del Dipartimento della sicurezza interna degli Stati Uniti, e il Bsi (Bundesamt für Sicherheit in der Informationstechnik) tedesco hanno emesso delle allerte. L’elenco completo delle vulnerabilità è disponibile all’interno del report di Sap e in questo articolo di Zdnet.

 

Il rischio è particolarmente elevato, anzi elevatissimo, per alcuni bug contrassegnati con il massimo punteggio di gravità nella scala Cvss, cioè 10. Inoltre Sap e Onapsis hanno osservato attività malevole dirette verso queste vulnerabilità: oltre 300 exploit automatizzati, che fanno leva su vettori d’attacco specificamente sviluppati per le applicazioni Sap, e più di un centinaio di sessioni “hands-on-keyboard” nelle quali gli attaccanti hanno potuto manipolare sistemi e trafugare dati.

 

I rischi potenziali sono il furto di dati sensibili, le frodi finanziarie, l’infezione con ransomware, la distruzione di processi aziendali mission-critical e addirittura il blocco totale delle operazioni dell’azienda vittima. L’attaccante potrebbe prendere il controllo dell’applicazione Sap vulnerabile, aggirando tutti i comuni controlli di sicurezza e di compliance. Un rischio correlato è quello di sanzioni dovute, appunto, al mancato rispetto di regolamenti come il Gdpr. 

 

L’invito di Sap: aggiornare e installare le patch

Sap e Onapsis si legge nel report, “consigliano caldamente di intraprendere azioni immediate”, fra cui l’installazione immediata delle patch di sicurezza disponibili e una “attenta revisione delle configurazioni di sicurezza” delle applicazioni Sap, oltre all’esecuzione di assessment e investigazioni forensi per trovare eventuali segni di violazioni avvenute.  E bisogna sbrigarsi, perché la finestra di tempo utile è stretta: in media, le vulnerabilità critiche delle applicazioni Sap vengono sfruttate in meno di 72 ore dal momento in cui vengono comunicate pubblicamente. Inoltre agli attaccanti bastano tre ore, in media, per scoprire e attaccare applicazioni non protette posizionate in ambienti cloud.

 

Sap ha sottolineato di aver “prontamente risolto con patch tutte le vulnerabilità critiche sfruttate, e le ha rese disponibili ai clienti da mesi, in certi casi da anni. Sfortunatamente, Sap e Onapsis continuano a osservare molte aziende che ancora non hanno applicato le importanti mitigazioni, consentendo ai sistemi Sap non protetti di continuare a operare e, in molti casi, di restare visibili agli attaccanti tramite Internet”.

 

Nel mondo circa 400mila aziende utilizzano le applicazioni Sap. Il vendor non ha prove di avvenute violazioni sulle reti dei propri clienti, legate a queste specifiche vulnerabilità, ma stima che tra il mese di giugno 2020 e il marzo del 2021 si siano verificati almeno 1.500 tentativi di attacco rivolti ad applicazioni Sap. Di questi, almeno 300 sono andati a segno. Aggiornare immediatamente le applicazioni Sap usate in azienda, quindi, è fortemente consigliato.


 

SAP

  • L’information management è strategico, parola di OpenText
  • Un migliore accesso ai dati per la biotecnologia delle staminali
  • Sap prepara nuove soluzioni cloud per i servizi finanziari
  • Vulnerabilità critiche nelle applicazioni Sap, ma le patch ci sono
  • Per trovare nuovi (grandi) clienti, Sap si affida a Fulvio Bergesio

NEWS

  • Si rivede il segno più nei conti economici di Ibm
  • Con Cloud Pc si potrà avere Windows sul Pc senza installarlo
  • Vmware ha una soluzione per lo smart working sicuro
  • Fingerprinting, una nuova minaccia alla privacy sul Web
  • Con Motorola Evolve per comunicare basta premere un tasto
Seguici:
IctBroadcast

Tweets by ictBusinessIT

Top news
  • Più lette
  • Ultime pubblicate
Per Huawei, cybersicurezza e trasparenza trovano casa a Roma
Cloud e on-premise si parlano con Google Network Connectivity Center
I misteri dell’HomePod, fra sensori “addormentati” e futuri schermi
Aws passa la palla: Adam Selipsky sarà il nuovo Ceo
Ransomware, in Italia quattro persone su dieci pagano il riscatto
Il digitale è fonte di resilienza e motore della ripresa
VMware punta a semplificare il cloud journey
I partner Nutanix guidano le aziende verso l’hybrid cloud
Più spazio ai partner IBM in un ecosistema fatto di competenze
La sicurezza alla base della continuità di business per Pregis
Partner Oracle ingaggiati nella cloud migration dei processi core
Cyberspionaggio cinese via Facebook, scoperta campagna mirata
Partner SentinelOne sfoderano l’AI per affrontare i rischi del cloud
Sistemi iperconvergenti in crescita del 7,4%, guida Dell
Privacy a confronto: Android condivide 20 volte più dati di iOS
Sotto attacco iPhone, iPad ed Apple Watch, serve l’aggiornamento
Intelligenza artificiale in Italia: interesse alto, strategie poche
Finix estende l’offerta dei partner Fujitsu ad AI, IoT e Security
Huawei, fatturato a +3,8%, “abbiamo fatto fronte alle avversità”
Per trovare nuovi (grandi) clienti, Sap si affida a Fulvio Bergesio
L'Europa punta a creare un portale unico per gli Open Data
Con Cloud Pc si potrà avere Windows sul Pc senza installarlo
Vmware ha una soluzione per lo smart working sicuro
Fingerprinting, una nuova minaccia alla privacy sul Web
Con Motorola Evolve per comunicare basta premere un tasto
Microsoft, Dhl e Google sono le prime vittime del phishing
Ibm accelera su cloud e Red Hat, inizio d’anno positivo
Amazon lancia tour virtuali in diretta dei centri di distribuzione
Accordo Google-Siemens per cloud e AI dedicati all’industria
Incidente mortale con Tesla self-driving, l’auto senza guida è sicura?
Chi siamo
Contatti
Privacy
Informativa Cookie
News
Focus
Eccellenze.it
Partners
Indigo Communication
Technopolis
TAB Magazine
ictbusiness logo
© 2021 Indigo Communication - P.iva 04275830968