Nelle applicazioni Sap ci sono pericoli nascosti. Spesso le vulnerabilità sono colpa dei vendor, altre volte sono colpa delle aziende e degli utenti clienti, che non installano aggiornamenti software e patch di sicurezza. Ed è quest’ultimo il caso per quanto riguarda la collezione di vulnerabilità scoperte all’interno di versioni non aggiornate di applicazioni Sap mission-critical, che includono Erp, Crm e sistemi di gestione della supply chain.
Tra l’altro è stato lo stesso vendor a fare la segnalazione in seguito a un lavoro di ricerca eseguito insieme a Onapsis, una società di cybersicurezza e compliance. Anche la Cisa (Cybersecurity and Infrastructure Security Agency), agenzia informatica del Dipartimento della sicurezza interna degli Stati Uniti, e il Bsi (Bundesamt für Sicherheit in der Informationstechnik) tedesco hanno emesso delle allerte. L’elenco completo delle vulnerabilità è disponibile all’interno del report di Sap e in questo articolo di Zdnet.
Il rischio è particolarmente elevato, anzi elevatissimo, per alcuni bug contrassegnati con il massimo punteggio di gravità nella scala Cvss, cioè 10. Inoltre Sap e Onapsis hanno osservato attività malevole dirette verso queste vulnerabilità: oltre 300 exploit automatizzati, che fanno leva su vettori d’attacco specificamente sviluppati per le applicazioni Sap, e più di un centinaio di sessioni “hands-on-keyboard” nelle quali gli attaccanti hanno potuto manipolare sistemi e trafugare dati.
I rischi potenziali sono il furto di dati sensibili, le frodi finanziarie, l’infezione con ransomware, la distruzione di processi aziendali mission-critical e addirittura il blocco totale delle operazioni dell’azienda vittima. L’attaccante potrebbe prendere il controllo dell’applicazione Sap vulnerabile, aggirando tutti i comuni controlli di sicurezza e di compliance. Un rischio correlato è quello di sanzioni dovute, appunto, al mancato rispetto di regolamenti come il Gdpr.
L’invito di Sap: aggiornare e installare le patch
Sap e Onapsis si legge nel report, “consigliano caldamente di intraprendere azioni immediate”, fra cui l’installazione immediata delle patch di sicurezza disponibili e una “attenta revisione delle configurazioni di sicurezza” delle applicazioni Sap, oltre all’esecuzione di assessment e investigazioni forensi per trovare eventuali segni di violazioni avvenute. E bisogna sbrigarsi, perché la finestra di tempo utile è stretta: in media, le vulnerabilità critiche delle applicazioni Sap vengono sfruttate in meno di 72 ore dal momento in cui vengono comunicate pubblicamente. Inoltre agli attaccanti bastano tre ore, in media, per scoprire e attaccare applicazioni non protette posizionate in ambienti cloud.
Sap ha sottolineato di aver “prontamente risolto con patch tutte le vulnerabilità critiche sfruttate, e le ha rese disponibili ai clienti da mesi, in certi casi da anni. Sfortunatamente, Sap e Onapsis continuano a osservare molte aziende che ancora non hanno applicato le importanti mitigazioni, consentendo ai sistemi Sap non protetti di continuare a operare e, in molti casi, di restare visibili agli attaccanti tramite Internet”.
Nel mondo circa 400mila aziende utilizzano le applicazioni Sap. Il vendor non ha prove di avvenute violazioni sulle reti dei propri clienti, legate a queste specifiche vulnerabilità, ma stima che tra il mese di giugno 2020 e il marzo del 2021 si siano verificati almeno 1.500 tentativi di attacco rivolti ad applicazioni Sap. Di questi, almeno 300 sono andati a segno. Aggiornare immediatamente le applicazioni Sap usate in azienda, quindi, è fortemente consigliato.