Una nuova vulnerabilità estremamente critica è stata scoperta in Apache Log4j.
Ma i sistemi SAP sono vulnerabili quindi? Cosa fare in queste situazioni?
Cosa è?
Qui sono presenti dei dettagli sulla vulnerabilità e sulle possibili mitigazioni:
Qui la guida del CSIRT
I sistemi SAP sono impattati da questa vulnerabilità?
È possibile cercare direttamente la CVE nel portale SAP. Dal giorno 9 dicembre 2021 quando è stata scoperta la vulnerabilità la SAP sta pubblicando continui aggiornamenti.
Alcuni sì, tra i più noti (elenco non esaustivo):
La SAP ha inoltre rilasciato una "Central Note" che richiama le note OSS sull'argomento:
Leggi anche questi articoli:
Ma cosa conviene fare?
- Verifica e tieni aggiornata la lista delle note che hanno impatto sui sistemi SAP in azienda (attenzione questa vulnerabilità non riguarda solo sistemi SAP)
- Nel caso di sistemi SAP vulnerabili segui le istruzioni fornite dalle note OSS
- In caso si sistemi gestiti da fornitori, coinvolgili direttamente per avere evidenza delle verifiche
- Nel caso di sviluppi custom, su sistemi SAP o non SAP verifica assieme agli attuali sviluppatori se sono state utilizzate librerie oggetto della vulnerabilità
- Una volta applicate le opportune correzioni verifica che sia effettivamente così ottenendo le evidenze del caso
- Se possibile utilizza degli strumenti per attivare e verificare in real-time se ci sono sistemi configurati non in modo corretto (ad esempio i seguenti). Spesso a seguito della vulnerabilità (dove possibile) in questi strumenti sono integrate le logiche per identificare se i software sono esposti):
- Onapsis
- SecurityBridge
- Protect4S