Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MinacceVulnerabilità

Incremento degli attacchi verso sistemi ERP

botnet  ERP  SAP   venerdì, 27 luglio 2018

È stato di recente rilevato un forte incremento di tentativi di attacco rivolti a tecnologie ed applicazioni ERP (Enterprise Resource Planning), utilizzate da numerose organizzazioni per la gestione di processi di business critici, supply-chain, ciclo di vita dei prodotti e relazioni con terze parti.

Come segnalato al CERT Nazionale dalla società Yoroi, negli ultimi mesi si è assistito ad un aumento trasversale dell’interesse nei confronti delle tecnologie ERP più diffuse da parte di attori malevoli legati a più ambiti: cyber-spionaggio, cyber-crimine e hacktivism.  L’attenzione degli attori malevoli si è concentrata soprattutto sugli applicativi della famiglia SAP ed alla suite Oracle EBM, per i quali sono disponibili decine di exploit pubblici utilizzabili dagli attaccanti per creare condizioni di denial of service o violare le infrastrutture delle organizzazioni bersaglio.

Mappa attacchi ERP 2018

Diffusione di applicativi Oracle EBS (rosso) e SAP (blu) esposti su Internet (fonte: Onapsis)

Questa tendenza è confermato anche da sviluppi recenti in ambito malware. Dall’inizio del 2018 sono stati infatti rilevate almeno tre botnet della famiglia Dridex contenenti configurazioni mirate al furto di credenziali SAP e propagate attraverso campagne di attacco basate su Email fraudolente ed allegati infetti.

A causa del consolidamento di questo interesse da parte dei vari agenti malevoli, della disponibilità di dettagli tecnici relativi alle vulnerabilità, della potenziale criticità degli asset coinvolti e della possibile sovra-esposizione di porzioni di infrastrutture ERP, si suggerisce di implementare e mantenere un piano di applicazione degli aggiornamenti di sicurezza al parco software ERP eventualmente in uso, di limitarne l’esposizione al pubblico utilizzando accessi tramite canali VPN sicuri e di valutare l’implementazione di politiche di gestione credenziali idonee a limitare il rischio di accessi abusivi tramite credenziali compromesse.

Per maggiori informazioni su questa minaccia e sui sistemi affetti si consiglia di consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

Varianti di Mirai utilizzate in attacchi a server Linux in cluster Hadoop

22 novembre 2018

Gli esperti di ASERT hanno scoperto nuove varianti del bot Mirai che prendono di mira server Linux sfruttando una vulnerabilità nota della piattaforma Apache Hadoop YARN.Leggi tutto

La botnet Torii prende di mira una vasta gamma di dispositivi IoT

28 settembre 2018

I ricercatori di Avast hanno pubblicato i risultati dell'analisi di una nuova botnet IoT denominata Torii, che presenta caratteristiche tecniche molto avanzate.Leggi tutto

Wicked: scoperta nuova variante della botnet Mirai

18 maggio 2018

Il team di ricerca di Fortinet Labs ha individuato una nuova variante del bot Mirai, battezzata Wicked.Leggi tutto