Sicurezza

Gestionali a rischio: perché un bug di SAP crea ancora problemi di vulnerabilità?

Scoperto nel 2010, il bug nel sistema SAP era stato risolto. E invece no. Il problema, che riguardava un set di funzioni che permette di utilizzare applicazioni Java, c’è ancora. Il motivo? Per quanto gli esperti avessero sottolineato di disabilitare questa funzione, in molti hanno continuato a utilizzare la versione fallata

Pubblicato il 25 Ago 2016

malware-sicurezza-160722190038

Gli antefatti. C’era un bug nel gestionale SAP che era stato risolto con una patch già nel 2010. Il problema era l’Invoker Servlet, un set di funzioni che permette di utilizzare applicazioni Java. Gli esperti della sicurezza avevano immediatamente raccomandato alle aziende di disabiltare questo kit. Il problema è stato che molti utenti, ignorando il problema, hanno continuato a usare la versione senza patch.

Lo scorso maggio l’ente statunitense US-CERT ha pubblicato un avviso in cui spiegava che trentasei aziende internazionali stavano ancora utilizzando un software SAP contenente un bug per cui le patch sono state rilasciate già nel 2010.

Secondo gli analisti, questo numero rappresenta solo la punta dell’iceberg. In realtà, sarebbero molte di più le imprese in pericolo. Le vulnerabilità che mettono a rischio la sicurezza dei gestionali sono diverse.

Gestionali a rischio: quali sono le vulnerabilità degli ERP

Gli esperti dicono che questo problema relativo alle modifiche di configurazione non colpisce solo SAP: ci sono diverse aziende con altri sistemi Enterprise resource planning (ERP) in esecuzione con configurazioni vulnerabili a causa di requisiti di compatibilità con il codice legacy che hanno implementato. Molte aziende realizzano applicazioni su sistemi ERP come SAP in modalità run-to-fail. Può capitare, per esempio, che gli sviluppatori che sono stati autori della programmazione siano andati in pensione o che il consulente esterno che ha scritto l’applicazione abbia cessato l’attività. In questi casi, l’organizzazione deve far funzionare il server con una configurazione vulnerabile al fine di permettere l’esecuzione delle proprie applicazioni business-critical.

Come risolvere il bug e garantire la sicurezza degli ERP?

Secondo gli esperti, innanzi tutto, occorre analizzare se un servlet invoker è abilitato di default. Nel caso non lo sia, disattivarlo immediatamenete e riavviare il sistema. Dopo di che, è necessario valutare manualmente ogni servizio web (e una sola installazione predefinita J2EE ne contiene oltre 500) e verificare se la funzionalità invoker servlet sia effettivamente attivata o disattivata. Se il servlet è abilitato, occorre disattivarlo e assicurarsi che nessun servizio critico sia più esposto al pericolo.

Alla luce di quanto accaduto, gli esperti consigliano di eseguire sempre le configurazioni di sicurezza e le raccomandazioni per proteggere il sistema rilasciate dalle aziende software, quando queste ultime forniscono patch per vulnerabilità di sicurezza.

Contrastare successivamente i problemi derivanti da una vulnerabilità, infatti, richiede molto più impegno che lavorare prontamente con patch e ulteriori configurazioni appena queste vengono rilasciate.

SAP, per esempio, risolve la maggior parte dei problemi con la sola introduzione di nuovi parametri, che gli amministratori devono necessariamente abilitare manualmente: questo è uno dei motivi, secondo gli operatori del settore, per cui spesso si incontrano difficoltà nella difesa dei sistemi SAP.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 2