I software per l’Enterprise resource planning (Erp) di Oracle e Sap non adeguatamente aggiornati possono fornire una pericolosa porta di ingresso all’azione degli hacker e al furto di dati anche strategici per le aziende e per le organizzazioni pubbliche: lo afferma una nota pubblicata dal dipartimento di Homeland Security degli Stati Uniti e basata su uno studio delle società di security Digital Sky and Onapsis. Una dozzina di aziende e enti governativi in America sono già stati colpiti e migliaia sarebbero a rischio, indica lo studio.
I pirati informatici sfruttano vecchie falle di sicurezza negli Erp di Oracle e Sap che i clienti non hanno provveduto ad aggiornare. Ciò espone le imprese alla sottrazione di dati sensibili e segreti industriali, sottolinea la nota della Homeland Security.
I ricercatori di Onapsis e Digital Shadows riportano che i sistemi di due agenzie governative e di alcune aziende dei settori media, energia e finanza sono già stati colpiti: queste organizzazioni non avevano installato le patch disponibili né adottato altre misure di sicurezza fortemente raccomandate sia da Oracle che da Sap.
Onapsis e Digital Shadows hanno individuato circa 17.000 installazioni dei software Sap e Oracle esposte alle intrusioni e oltre 3.000 aziende, università e enti governativi a rischio. Inoltre, secondo i ricercatori, almeno 10.000 server usano software non correttamente configurato che li espone a attacchi diretti che sfruttano falle note nei sistemi Sap e Oracle. Oltre 4.000 bug noti nel software Sap e 5.000 nel software Oracle possono rappresentare una minaccia alla sicurezza dei dati, specialmente nei sistemi più vecchi che molte aziende non aggiornano.
Il governo americano ha lanciato l’allarme, tramite il NCCIC, parte dello U.S. Computer Emergency Readiness Team (US-Cert), perché preoccupato dal rischio di sottrazione di dati sensibili come risultati finanziari, brevetti o numeri di carte di credito conservati in prodotti software vulnerabili, tra cui i software di enterprise resource planning e le applicazioni connesse che gestiscono clienti, dipendenti, partner e fornitori. Già l’anno scorso il dipartimento di Homeland Security aveva messo in guardia sulle vulnerabilità degli Erp e le aveva collegate a attacchi informatici di matrice cinese.
L’incremento degli attacchi informatici perpetrati da hacker activisti, cyber-criminali e agenzie di spionaggio sostenute da governi esteri mette sempre più a repentaglio i dati delle imprese, ha indicato il Ceo di Onapsis, Mariano Nunez, all’agenzia Reuters. “Sfruttando falle vecchie anche di dieci anni e non sanate gli hacker possono acquisire pieno accesso ai sistemi Sap e Oracle e restare non visti. Il livello di attenzione dei Ceo e dei chief security officers dovrebbe essere molto più alto”.
Sap e Oracle rilasciano costantemente patch di sicurezza e raccomandano ai clienti di installarle prontamente per mettersi al riparo dal rischio di intrusione e sottrazione di dati. Lo studio di Onapsis e Digital Shadows sottolinea anche i rischi derivanti da errori nell’installazione oppure nella migrazione dei sistemi business verso il cloud.
