Security Notes

Cosa c’entra la falla in un software SAP con un attacco di Information Warfare?

Attack

Sempre più spesso parliamo di attacchi cibernetici e di cyber war, o meglio di information warfare, guerra dell’infromazione, e di frequente leggiamo del possibile utilizzo dello strumento informatico per condurre azioni militari contro governi nemici. Oggi voglio parlarvi una falla in un della nota azienda e del suo impatto prorio in uno scenario di Information Warfare.

Di recente l’azienda SAP ha risolto una vulnerabilità presente nel suo software SAP Manufacturing Integration and Intelligence (xMII), una piattaforma utilizzata in contesti industriali in cui funge da hub tra gli applicativi ERP (Enterprise Resource Planning), applicazioni enterprise e sistemi hardware in uso per il controllo diretto dei processi industriali (Operational technology (OT) devices). I sistemi SAP xMII sono molto diffusi nel settore energetico, ma proprio le aziende operanti in questo settore cono costantemente sotto attacco da parte di hacker che nella maggior parte dei casi operano per conto di governi.

SAP ha pubblicato la “SAP Security Notes February 2016,” una relazione periodica che contiene la descrizione di tutte vulnerabilità risolte con la patch cui fa riferimento:

sap

 

Secondo i dati forniti da SAP, il maggior numero di vulnerabilità risolte nei software prodotti dall’azienda in quest’ultimo aggiornamento appartengono alla categoria Cross Site Scripting, mentre la diffusa componente Java delle soluzioni è la principale causa di vulnerabilità. Il che vuol dire che una falla, per quanto semplice, può divenire l’entry point nei sistemi in uso per il controllo dei processi di una azienda del comparto energetico o affini.

sap2

Nel caso di SAP ci troviamo dinanzi ad una classe di sistemi cruciali per il controllo dei processi industriali e che sono affette da una vulnerabilità potenzialmente fruttabile in un attacco di guerra informatica. La falla risolta nel software xMII è una vulnerabilità di tipo “directory traversal” che potrebbe consentire infatti ad un attaccante di penetrare nell’infrastruttura di rete che ospita l’applicazione e da lì lanciare un attacco contro i sistemi ICS e SCADA presenti all’interno del plesso produttivo.

Facile rendersi conto di come una vulnerabilità in un software di largo uso come SAP possa ripercuotersi sulla di un sistema complesso come quello deputato al controllo di un processo all’interno di un plant di produzione energetica.

Un settore, quello energetico, nell’occhio del ciclone: uno studio condotto dall’azienda TripWire in gennaio ha rivelato che gli attacchi lanciati con successo contro sistemi di aziende operanti nel settore energetico è cresciuto nel 2015 come mai prima d’ora. E secondo il DHS statunitense nel 2014 le compagnie del settore energetico hanno sofferto circa 245 incidenti: lasciatemi dire che probabilmente siamo dinanzi alla punta di un iceberg e che molti attacchi non sono stati identificati a causa del loro alto livello di complessità.

La falla discussa in questo post rappresenta un classico esempio di come una vulnerabilità in un sistema software possa di fatto consentire ad un gruppo di hacker di penetrare le reti interne ad un plant di produzione, o peggio ancora di una infrastruttura critica. Chiederei quindi con un commento del CTO di SAP, Alexander Polyakov, che avvalora la precedente affermazione: “Ogni vulnerabilità che interessa SAP MII può essere utilizzato come punto di partenza in attacchi multi-fase che mirano a ottenere il controllo dei sistemi di produzione” .

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della .
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This