Una nuova vulnerabilità estremamente critica è stata scoperta in Apache Log4j.
Ma i sistemi SAP sono vulnerabili quindi? Cosa fare in queste situazioni?
Cosa è?
Qui sono presenti dei dettagli sulla vulnerabilità e sulle possibili mitigazioni:
- https://logging.apache.org/log4j/2.x/security.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-44228
- https://nvd.nist.gov/vuln/detail/CVE-2021-44228
Qui la guida del CSIRT
I sistemi SAP sono impattati da questa vulnerabilità?
È possibile cercare direttamente la CVE nel portale SAP. Dal giorno 9 dicembre 2021 quando è stata scoperta la vulnerabilità la SAP sta pubblicando continui aggiornamenti.
Alcuni sì, tra i più noti (elenco non esaustivo):
- SAP HANA: 3130698 - Remediating log4j CVE-2021-44228 vulnerability in XS Advanced Platform and applications
- SAP BTP (Business Technology Platform): 3130476 - Detecting and remediating log4j CVE-2021-44228 vulnerabilities in BTP Cloud Foudry applications
- SAP Enable NOW - 3130652 - SAP Enable Now & Apache Log4j2 issue
- SAP Business Object - 3129956 - CVE-2021-44228 - BusinessObjects impact for Log4j vulnerability
- SAP Customer Checkout and SAP Customer Checkout manager (vedi anche immagine per comunicato sopra) - 3130499 - SAP Customer Checkout and SAP Customer Checkout manager and Log4j
- SAP ETD (Enterprise Threat Detection) - 3131272 - CVE-2021-44228 Apache Log4j vulnerability in SAP Enterprise Threat Detection and ETD Log Collector
- Application Server JAVA - 3129883 - CVE-2021-44228 - AS Java Core Components' impact for Log4j vulnerability
La SAP ha inoltre rilasciato una "Central Note" che richiama le note OSS sull'argomento:
Leggi anche questi articoli:
Ma cosa conviene fare?
- Verifica e tieni aggiornata la lista delle note che hanno impatto sui sistemi SAP in azienda (attenzione questa vulnerabilità non riguarda solo sistemi SAP)
- Nel caso di sistemi SAP vulnerabili segui le istruzioni fornite dalle note OSS
- In caso si sistemi gestiti da fornitori, coinvolgili direttamente per avere evidenza delle verifiche
- Nel caso di sviluppi custom, su sistemi SAP o non SAP verifica assieme agli attuali sviluppatori se sono state utilizzate librerie oggetto della vulnerabilità
- Una volta applicate le opportune correzioni verifica che sia effettivamente così ottenendo le evidenze del caso
- Se possibile utilizza degli strumenti per attivare e verificare in real-time se ci sono sistemi configurati non in modo corretto (ad esempio i seguenti). Spesso a seguito della vulnerabilità (dove possibile) in questi strumenti sono integrate le logiche per identificare se i software sono esposti):
- Onapsis
- SecurityBridge
- Protect4S