Incremento degli Attacchi verso Sistemi ERP

 

Proto: N060718.

Con la presente Yoroi desidera informarLa relativamente al rilevamento di un trend incrementale di tentativi di attacco rivolti a tecnologie ed applicazioni ERP (Enterprise Resource Planning), utilizzate da numerose Organizzazioni per la gestione di processi di business critici, supply-chain, ciclo di vita dei prodotti e relazioni con terze parti.

Negli ultimi semestri si è assistito ad un aumento trasversale dell’interesse nei confronti delle tecnologie ERP più diffuse da parte di attori malevoli legati a più ambiti (cyber-espionage, cyber-crime e hacktivism): le maggiori attenzioni si sono concentrate agli applicativi della famiglia SAP ed alla suite Oracle EBM, per i quali sono disponibili decine di exploit pubblici utilizzabili dagli attaccanti per creare disservizi o violare le infrastrutture delle Organizzazioni bersaglio.


Figura 1. Rappresentazione potenziale esposizione internet di applicativi Oracle EBS (rosso) e SAP (blu), fonte:Report ERP Applications Under Fire


Il trend è confermato anche nell’ambiente malware: da inizio 2018 sono stati infatti rilevate almeno tre botnet della famiglia Dridex contenenti configurazioni mirate al furto di credenziali SAP propagate attraverso campagne di attacco basate su email fraudolente ed allegati infetti.

Per via del consolidamento di questo interesse da parte dei vari agenti di minaccia, della disponibilità di dettagli tecnici relativi a vulnerabilità, della potenziale criticità degli asset coinvolti e della possibile sovra-esposizione di porzioni di infrastrutture ERP, Yoroi consiglia di implementare e mantenere un piano di applicazione degli aggiornamenti di sicurezza al parco software ERP eventualmente in uso, di limitarne l’esposizione al pubblico in favore di accessi tramite canali VPN sicuri e di valutare l’implementazione di politiche di gestione credenziali idonee a limitare il rischio di accessi abusivi tramite credenziali compromesse.

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index