Gli utenti SAP dovrebbero installare con la massima priorità la patch che corregge una vulnerabilità nota come RECON. Secondo gli esperti di sicurezza di Onapsis, che hanno scoperto la falla, RECON consente ai cyber criminali di creare un account utente SAP con privilegi massimi nelle applicazioni SAP esposte su Internet. Così facendo, gli attaccanti otterrebbero il pieno controllo sulle risorse SAP delle aziende violate.

Il bug, a cui è stato assegnato il codice CVE-2020-6287, ha il punteggio CVSSv3 di 10, il massimo nella scala di gravità per una vulnerabilità. Significa che è facile da sfruttare, perché non sono necessarie particolari conoscenze tecniche. Inoltre, consente di sferrare attacchi automatizzati via Internet, senza che i criminali informatici dispongano di un account SAP o di credenziali valide.

L'installazione della patch è pertanto prioritaria, come sottolineato anche dall'avviso di sicurezza pubblicato dalla Cybersecurity and Infrastructure Security Agency (DHS CISA) del Department of Homeland Security. Gli amministratori dei sistemi SAP devono collegarsi alla pagina ufficiale degli aggiornamenti di sicurezza, dove ci sono tutte le indicazioni.  

RECON

I dettagli sulla nuova vulnerabilità sono stati pubblicati da Onapsis. RECON risiede in un componente predefinito incluso in ogni applicazione SAP che esegue lo stack SAP NetWeaver AS JAVA. Tale componente viene utilizzato in alcuni dei prodotti SAP più diffusi, tra cui SAP S/4HANA, SAP SCM, SAP CRM, SAP CRM, SAP Enterprise Portal e SAP Solution Manager (SolMan).

Onapsis stima che siano circa 40.000 i clienti SAP potenzialmente interessati da questa falla. Da una prima scansione, di questi solo 2.500 sistemi SAP risultano direttamente esposti a Internet. Il numero è contenuto rispetto alla base installata, ma è comunque molto elevato.

Le falle di livello critico

Non è una coincidenza che quello di SAP sia il terzo bug di livello 10 scoperto nel giro di pochi giorni. FGalle di analoga criticità sono state scoperte nel sistema operativo per firewall PAN-OS di Palo Alto Networks, nei dispositivi di rete BIG-IP di F5 e in quelli Citrix.

Molte di queste vulnerabilità sono state quasi immediatamente oggetto di attacchi. È un chiaro segnale che i cyber criminali stanno cercando di sfruttare ogni occasione possibile per attaccare le reti aziendali. Durante il lockdown erano obiettivi più facili gli endpoint e i router domestici. Ora che l'emergenza sanitaria è sotto controllo c'è un ritorno agli attacchi diretti alle aziende.

Gli amministratori di rete devono fare un lavoro di prevenzione, controllando in modo sistematico gli aggiornanti degli apparati di rete e installando le patch con la massima priorità.