SAP: non tutte le aziende hanno messo al sicuro il sistema
Dopo un anno dall'annuncio di Onapsis che segnalava alle aziende che usano sistemi SAP di applicare le patch di sicurezza sembra che il problema persista nonostante la correzione sia stata rilasciata già da tempo. CERT ha, infatti, reso noto in questi giorni che «36 organizzazioni globali» stanno utilizzando software SAP che contiene il bug corretto già nel 2010. Sono aziende di telecomunicazioni, energia, distribuzione del gas e della siderurgia e tutte rischiano che un hacker possa entrare nei sistemi SAP e, da lì, arrivare a violare anche altri dati dell'azienda. Vista la tipologia delle aziende potenzialmente coinvolte, l'impatto di un'eventuale violazione dei sistemi potrebbe essere molto serio.Il problema risiede nell'invoker servlet, un insieme di funzioni che permette di adoperare applicazioni Java senza fornire credenziali. SAP, scoperta la falla, ha deciso di disabilitarla, ma le aziende che utilizzano un software molto vecchio, o quelle che per motivi di compatibilità con altri applicativi hanno riattivato l'invoker servlet, sono a rischio. Questa vulnerabilità consente agli hacker il controllo sulle informazioni e sui processi in esecuzione e anche la possibilità di entrare nei sistemi connessi SAP e non-SAP. Ora che l'allarme del CERT è stato lanciato, è urgente che gli amministratori di sistema prendano provvedimenti al più presto perché questa informazione potrebbe stimolare anche la curiosità e le azioni malevole degli hacker.
