Sicurezza SAP patch vulnerabilità

Sicurezza SAP: patch, vulnerabilità e come proteggere i tuoi sistemi

La sicurezza dei sistemi SAP rappresenta oggi una delle priorità assolute per le aziende che gestiscono processi critici attraverso questa piattaforma. Nel 2025, il panorama delle minacce continua a evolversi con sofisticazione crescente, rendendo indispensabile un approccio proattivo e strutturato alla protezione delle infrastrutture SAP.

Lo scenario attuale: i numeri del Patch Day di ottobre 2025

Il Security Patch Day di ottobre 2025 ha visto il rilascio di 13 nuove note di sicurezza, con ulteriori 4 aggiornamenti a note precedentemente pubblicate. Il totale di 23 Security Notes (inclusi gli aggiornamenti) sottolinea l’importanza crescente delle patch di sicurezza e la necessità di controlli di processo robusti. Un dato significativo che evidenzia come il portfolio SAP in espansione porti con sé un ampliamento proporzionale della superficie di attacco.

Tra le note pubblicate, sei sono state classificate come HotNews (la categoria a priorità più alta), due come High Priority, 13 come Medium Priority e 2 come Low Priority. Questa distribuzione riflette la serietà delle vulnerabilità individuate e l’urgenza di intervento richiesta agli amministratori di sistema.

Vulnerabilità critiche: deserializzazione e directory traversal – Sicurezza SAP patch vulnerabilità

Deserializzazione insicura in SAP NetWeaver AS Java

La Security Note #3634501, con un punteggio CVSS di 10.0 (il massimo), è stata rilasciata inizialmente nel Patch Day di settembre in collaborazione con Onapsis Research Labs. Questa vulnerabilità consente a utenti non autenticati di eseguire codice remoto tramite deserializzazione insicura nel componente RMI-P4 di NetWeaver AS Java, permettendo il completo compromesso del sistema.

Come ulteriore livello di protezione, SAP ha rilasciato la Security Note #3660659, anch’essa con CVSS 10.0, che implementa un filtro JVM-wide (jdk.serialFilter) per impedire la deserializzazione di classi specifiche. Questo hardening rappresenta una misura aggiuntiva fondamentale che completa le patch individuali rilasciate nei mesi precedenti.

Directory Traversal in SAP Print Service

La vulnerabilità critica di directory traversal in SAP Print Service (Security Note #3630595, CVSS 9.8) consente ad attaccanti non autenticati di accedere e manipolare file arbitrari sul sistema. La vulnerabilità è causata da una validazione insufficiente delle informazioni di percorso fornite dall’utente, consentendo agli attaccanti di attraversare directory e sovrascrivere file di sistema.

Altre vulnerabilità rilevanti – Sicurezza SAP patch vulnerabilità

La Security Note #3658838 (CVSS 7.1) corregge una vulnerabilità in SAP Data Hub Suite causata dalle librerie Apache CXF 3.5.1 con configurazione JMS/JNDI. Senza patch, un utente non autenticato potrebbe configurare JMS e fornire endpoint RMI/LDAP malevoli, portando potenzialmente all’esecuzione di codice.

Una vulnerabilità di caricamento file senza restrizioni in SAP Supplier Relationship Management (CVSS 9.0) permette ad attaccanti autenticati con bassi privilegi di caricare file malevoli, rappresentando un vettore di attacco significativo per la compromissione del sistema.

Impatto sulle infrastrutture SAP – Sicurezza SAP patch vulnerabilità

Le vulnerabilità individuate hanno un impatto significativo sulle infrastrutture SAP aziendali. La possibilità di esecuzione remota del codice senza autenticazione rappresenta il rischio più grave, consentendo a un attaccante di:

• Ottenere il controllo completo del sistema
• Accedere a dati finanziari e personali sensibili
• Compromettere l’integrità dei processi aziendali critici
• Utilizzare il sistema compromesso come punto di partenza per attacchi laterali

Gli attaccanti prendono sempre più di mira SAP per accedere a dati finanziari e personali sensibili, con esempi recenti di vulnerabilità sfruttate attivamente in ambiente di produzione. Questo scenario richiede un’attenzione costante e tempestiva nell’applicazione delle patch.

Best practices per la sicurezza SAP nelle diverse fasi del progetto

Fase di Design e Architettura

Durante la progettazione dell’infrastruttura SAP, è fondamentale:

• Implementare il modello Zero Trust: Il modello di sicurezza zero trust sta guadagnando terreno tra le aziende che utilizzano sistemi SAP, operando sul principio “mai fidarsi, sempre verificare”, richiedendo l’autenticazione e autorizzazione continua di tutti gli utenti e dispositivi
• Segmentazione della rete: isolare i componenti SAP critici, limitando l’esposizione delle porte P4/P4S e dei servizi esposti su Internet
• Definire chiare policy di accesso: applicare il principio del minimo privilegio fin dalla progettazione dei ruoli

Fase di Sviluppo

Il codice sicuro è un fattore chiave nella costruzione di un ambiente SAP sicuro, con gli sviluppatori responsabili del mantenimento di un ciclo di vita di sviluppo software sicuro. Le best practices includono:

• Code scanning e inspection tools: Uno strumento di scansione o ispezione del codice è fondamentale per fornire agli sviluppatori feedback rapido sulle potenziali vulnerabilità nel loro codice e nei trasporti
• Educazione degli sviluppatori: formare i team di sviluppo ABAP sulle pratiche di secure coding, con particolare attenzione a injection vulnerabilities e gestione sicura degli input
• Testing delle vulnerabilità: integrare test di sicurezza nel processo di sviluppo, verificando ogni trasporto prima del rilascio

Fase di Manutenzione e Operations

I team di sicurezza dovrebbero dare priorità ai servizi esposti su Internet e agli aggiornamenti a livello kernel, per poi procedere con gli elementi a livello applicativo attraverso mitigazioni mirate e test di regressione. Le attività critiche comprendono:

Patch Management strutturato:

• Applicare immediatamente le patch HotNews, in particolare quelle con CVSS ≥ 9.0
• Applicare regolarmente le SAP Security Notes, abilitare l’autenticazione multi-fattore e condurre valutazioni di sicurezza
• Testare le patch in ambiente di sviluppo prima del deployment in produzione
• Documentare le mitigazioni quando le patch richiedono pianificazione

Monitoraggio e logging:

• Il monitoraggio dei sistemi SAP è essenziale per rilevare eventi e incidenti relativi alla sicurezza, come accessi non autorizzati, violazioni di dati e compromissioni
• Implementare un sistema SIEM per aggregare e correlare i log da SAP e dai sistemi circostanti
• Monitorare attivamente l’esposizione delle porte P4, i picchi di traffico HTTP/2 e i percorsi di upload/stampa

Gestione delle autorizzazioni:

• Evitare di assegnare permessi che consentano a un singolo individuo di causare danni significativi, con gli account “Firefighter” con permessi ampi da concedere temporaneamente per manutenzione urgente e poi revocare
• Condurre revisioni automatizzate continue delle autorizzazioni SAP
• Implementare controlli di accesso basati su ruoli con separation of duties (SoD)

Hardening del sistema:

• Aggiornamenti regolari e configurazione appropriata delle applicazioni SAP sono cruciali per proteggersi dalle vulnerabilità
• Applicare le raccomandazioni di hardening per la deserializzazione (Security Note #3660659)
• L’igiene delle librerie di terze parti è fondamentale: gli aggiornamenti di Jetty (HTTP/2), Apache CXF (JMS/JNDI) e Apache POI evidenziano la manutenzione della supply chain negli stack SAP Commerce, Data Hub e BI

Caso pratico: gestione di una vulnerabilità critica – Sicurezza SAP patch vulnerabilità

Un’azienda manifatturiera con SAP ECC 6.0 e NetWeaver AS Java ha ricevuto l’allerta per la CVE-2025-42944 (deserializzazione RMI-P4). Il team di sicurezza ha immediatamente:

1. Verificato l’esposizione delle porte P4/P4S attraverso un’analisi della configurazione di rete
2. Implementato il workaround temporaneo isolando le porte tramite firewall
3. Programmato l’applicazione della patch in ambiente di test entro 48 ore
4. Eseguito il deployment in produzione nel weekend successivo dopo test di regressione completi
5. Implementato il filtro jdk.serialFilter come ulteriore layer di protezione

Questa risposta tempestiva ha permesso di mitigare il rischio senza interruzioni operative significative.

L’importanza della formazione per ridurre i rischi

L’educazione degli sviluppatori è essenziale per rendere gli sviluppatori SAP consapevoli delle best practices importanti che possono prevenire attacchi informatici. In un contesto dove le vulnerabilità diventano sempre più sofisticate e il portfolio SAP continua ad espandersi, la formazione specialistica rappresenta un investimento strategico fondamentale.

I consulenti SAP junior, in particolare, devono acquisire competenze specifiche in:

• Secure coding ABAP e Java
• Gestione delle autorizzazioni e SoD
• Analisi e remediation delle vulnerabilità
• Implementazione di patch e hardening
• Monitoraggio e incident response

Corsi SAP per una sicurezza efficace

Per garantire che i team IT aziendali siano adeguatamente preparati ad affrontare le sfide di sicurezza dei sistemi SAP, Innovaformazione offre un’ampia gamma di corsi specialistici SAP. Il catalogo completo dei Corsi SAP è consultabile sul sito QUI.

I corsi sono:

• Attivati su richiesta per aziende con calendari personalizzabili
• Erogati in modalità online per massima flessibilità
• Finanziabili tramite Fondimpresa: Innovaformazione può seguire l’intero piano formativo finanziato, gestendo tutti gli aspetti amministrativi

La formazione continua dei consulenti SAP non è solo un’opportunità di crescita professionale, ma una necessità strategica per limitare al minimo i rischi ai sistemi SAP aziendali e garantire la continuità operativa.

Per informazioni sui corsi e piani formativi:

• Email: info@innovaformazione.net
• Tel: 3471012275 (Dario Carrassi)

Conclusioni – Sicurezza SAP patch vulnerabilità

La sicurezza SAP nel 2025 richiede un approccio olistico che integri patch management tempestivo, hardening sistematico, monitoraggio continuo e formazione specialistica. Le vulnerabilità critiche come quelle di deserializzazione e directory traversal dimostrano che anche i sistemi più robusti possono essere compromessi se non adeguatamente protetti.

L’investimento nella formazione IT dei consulenti SAP rappresenta un elemento chiave per costruire una difesa efficace, trasformando il team interno in prima linea di protezione contro le minacce cyber. Solo attraverso un aggiornamento continuo delle competenze e l’applicazione rigorosa delle best practices è possibile garantire la sicurezza e l’integrità delle infrastrutture SAP che supportano i processi aziendali critici.

(fonte) (fonte) (fonte) (fonte)