Ricercatori di cybersecurity hanno avvertito di un exploit che potrebbe essere utilizzato per prendere di mira il software aziendale SAP.
L’exploit sfrutta una vulnerabilità, tracciata come CVE-2020-6207, che deriva da un mancato controllo di autenticazione in SAP Solution Manager (SolMan) versione 7.2.
Cos’è SAP Solution Manager
SAP SolMan è una soluzione per l’amministrazione delle applicazioni che cura la gestione del ciclo di vita delle applicazioni end-to-end, fungendo da hub centralizzato per l’implementazione e la manutenzione di sistemi SAP come ERP, CRM, HCM, SCM, BI e altri.
“Un exploit efficace potrebbe consentire a un utente malintenzionato non autenticato di eseguire attività da remoto con privilegi da amministratore“, hanno affermato i ricercatori di Onapsis, riferendosi al set di strumenti Solution Manager Diagnostics utilizzato per analizzare e monitorare i sistemi SAP.
Vulnerabilità già risolta con l’aggiornamento
La vulnerabilità è stata risolta da SAP nell’ambito dei suoi aggiornamenti fin dal marzo 2020. Il problema è che molte aziende non hanno ancora effettuato aggiornamenti.
I metodi per lo sfruttamento della vulnerabilità sono stati successivamente dimostrati alla conferenza Black Hat lo scorso agosto dai ricercatori di Onapsis Pablo Artuso e Yvan Genuer per evidenziare le possibili tecniche di attacco che potrebbero essere escogitate da criminali informatici per colpire i server SAP e ottenere l’accesso root.
Il difetto critico risiede nel componente di monitoraggio dell’esperienza utente di SolMan (in precedenza monitoraggio dell’esperienza dell’utente finale o EEM), mettendo così a rischio di potenziale compromissione ogni sistema aziendale connesso al Solution Manager.
I rischi della vulnerabilità SAP Solution Manager
La disponibilità pubblica di un codice di exploit Proof-of-Concept (PoC), quindi, lascia i server privi di patch esposti a una serie di potenziali attacchi dannosi, tra cui:
- arresto di qualsiasi sistema SAP nella rete colpita;
- eliminazione di tutti i dati nei sistemi SAP;
- interruzioni dell’attività;
- assegnazione di privilegi di superutente a qualsiasi utente nuovo o esistente, consentendo quindi di eseguire operazioni critiche e non autorizzate;
- lettura di dati sensibili dal database.
Perché la pubblicazione di questo codice è particolarmente pericolosa?
“Sebbene gli exploit vengano rilasciati regolarmente online, solitamente non accade per le vulnerabilità SAP, per le quali gli exploit disponibili pubblicamente sono stati limitati“, hanno detto i ricercatori di Onapsis.
“Il rilascio di un exploit pubblico aumenta in modo significativo la possibilità di un tentativo di attacco poiché espande i potenziali aggressori non solo agli esperti SAP o ai professionisti, ma anche agli script kiddies o agli aggressori meno esperti che ora possono sfruttare gli strumenti pubblici invece di creare il loro.“
Essere informati sugli aggiornamenti
Uno dei problemi principali per le aziende è la scarsa conoscenza delle possibilità di aggiornamento dei diversi software che popolano la rete aziendale. Accade anche nei casi in cui vi sono reparti IT strutturati, solitamente “sottostaffati”.
Ciò fa sì che un programma non venga aggiornato per una mancanza di consapevolezza degli aggiornamenti esistenti, esponendo le aziende a rischi cyber che possono portare a fughe e perdite di dati sensibili, blocchi produzione, ecc…
In questo senso una scelta vincente è quella che vede una collaborazione tra un reparto IT interno e un supporto di cyber security in outsourcing, con esperti di sicurezza informatica che segnalano vantaggi e pericoli dei vari aggiornamenti di sicurezza.
Contattaci: