Gli antefatti. C’era un bug nel gestionale SAP che era stato risolto con una patch già nel 2010. Il problema era l’Invoker Servlet, un set di funzioni che permette di utilizzare applicazioni Java. Gli esperti della sicurezza avevano immediatamente raccomandato alle aziende di disabiltare questo kit. Il problema è stato che molti utenti, ignorando il problema, hanno continuato a usare la versione senza patch.
Lo scorso maggio l’ente statunitense US-CERT ha pubblicato un avviso in cui spiegava che trentasei aziende internazionali stavano ancora utilizzando un software SAP contenente un bug per cui le patch sono state rilasciate già nel 2010.
Secondo gli analisti, questo numero rappresenta solo la punta dell’iceberg. In realtà, sarebbero molte di più le imprese in pericolo. Le vulnerabilità che mettono a rischio la sicurezza dei gestionali sono diverse.
Gestionali a rischio: quali sono le vulnerabilità degli ERP
Gli esperti dicono che questo problema relativo alle modifiche di configurazione non colpisce solo SAP: ci sono diverse aziende con altri sistemi Enterprise resource planning (ERP) in esecuzione con configurazioni vulnerabili a causa di requisiti di compatibilità con il codice legacy che hanno implementato. Molte aziende realizzano applicazioni su sistemi ERP come SAP in modalità run-to-fail. Può capitare, per esempio, che gli sviluppatori che sono stati autori della programmazione siano andati in pensione o che il consulente esterno che ha scritto l’applicazione abbia cessato l’attività. In questi casi, l’organizzazione deve far funzionare il server con una configurazione vulnerabile al fine di permettere l’esecuzione delle proprie applicazioni business-critical.
Come risolvere il bug e garantire la sicurezza degli ERP?
Secondo gli esperti, innanzi tutto, occorre analizzare se un servlet invoker è abilitato di default. Nel caso non lo sia, disattivarlo immediatamenete e riavviare il sistema. Dopo di che, è necessario valutare manualmente ogni servizio web (e una sola installazione predefinita J2EE ne contiene oltre 500) e verificare se la funzionalità invoker servlet sia effettivamente attivata o disattivata. Se il servlet è abilitato, occorre disattivarlo e assicurarsi che nessun servizio critico sia più esposto al pericolo.
Alla luce di quanto accaduto, gli esperti consigliano di eseguire sempre le configurazioni di sicurezza e le raccomandazioni per proteggere il sistema rilasciate dalle aziende software, quando queste ultime forniscono patch per vulnerabilità di sicurezza.
Contrastare successivamente i problemi derivanti da una vulnerabilità, infatti, richiede molto più impegno che lavorare prontamente con patch e ulteriori configurazioni appena queste vengono rilasciate.
SAP, per esempio, risolve la maggior parte dei problemi con la sola introduzione di nuovi parametri, che gli amministratori devono necessariamente abilitare manualmente: questo è uno dei motivi, secondo gli operatori del settore, per cui spesso si incontrano difficoltà nella difesa dei sistemi SAP.