Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

MinacceVulnerabilità

Incremento degli attacchi verso sistemi ERP

botnet  ERP  SAP   venerdì, 27 luglio 2018

È stato di recente rilevato un forte incremento di tentativi di attacco rivolti a tecnologie ed applicazioni ERP (Enterprise Resource Planning), utilizzate da numerose organizzazioni per la gestione di processi di business critici, supply-chain, ciclo di vita dei prodotti e relazioni con terze parti.

Come segnalato al CERT Nazionale dalla società Yoroi, negli ultimi mesi si è assistito ad un aumento trasversale dell’interesse nei confronti delle tecnologie ERP più diffuse da parte di attori malevoli legati a più ambiti: cyber-spionaggio, cyber-crimine e hacktivism.  L’attenzione degli attori malevoli si è concentrata soprattutto sugli applicativi della famiglia SAP ed alla suite Oracle EBM, per i quali sono disponibili decine di exploit pubblici utilizzabili dagli attaccanti per creare condizioni di denial of service o violare le infrastrutture delle organizzazioni bersaglio.

Mappa attacchi ERP 2018

Diffusione di applicativi Oracle EBS (rosso) e SAP (blu) esposti su Internet (fonte: Onapsis)

Questa tendenza è confermato anche da sviluppi recenti in ambito malware. Dall’inizio del 2018 sono stati infatti rilevate almeno tre botnet della famiglia Dridex contenenti configurazioni mirate al furto di credenziali SAP e propagate attraverso campagne di attacco basate su Email fraudolente ed allegati infetti.

A causa del consolidamento di questo interesse da parte dei vari agenti malevoli, della disponibilità di dettagli tecnici relativi alle vulnerabilità, della potenziale criticità degli asset coinvolti e della possibile sovra-esposizione di porzioni di infrastrutture ERP, si suggerisce di implementare e mantenere un piano di applicazione degli aggiornamenti di sicurezza al parco software ERP eventualmente in uso, di limitarne l’esposizione al pubblico utilizzando accessi tramite canali VPN sicuri e di valutare l’implementazione di politiche di gestione credenziali idonee a limitare il rischio di accessi abusivi tramite credenziali compromesse.

Per maggiori informazioni su questa minaccia e sui sistemi affetti si consiglia di consultare le seguenti fonti esterne (in Inglese):

Notizie correlate

La botnet Torii prende di mira una vasta gamma di dispositivi IoT

28 settembre 2018

I ricercatori di Avast hanno pubblicato i risultati dell'analisi di una nuova botnet IoT denominata Torii, che presenta caratteristiche tecniche molto avanzate.Leggi tutto

Wicked: scoperta nuova variante della botnet Mirai

18 maggio 2018

Il team di ricerca di Fortinet Labs ha individuato una nuova variante del bot Mirai, battezzata Wicked.Leggi tutto

RottenSys: scoperto malware preinstallato in 5 milioni di dispositivi Android

16 marzo 2018

I ricercatori di sicurezza di Check Point hanno scoperto una nuova famiglia di malware per sistemi Android, battezzata RottenSys, che avrebbe già infettato circa 5 milioni di dispositivi mobili.Leggi tutto