Dentro la violazione di SAP S/4HANA: come gli hacker hanno violato la spina dorsale delle imprese

La crepa nella fortezza aziendale

Immagina un grattacielo in cui una singola porta laterale trascurata permette a un ladro di accedere a ogni caveau, ufficio e documento segreto. Questa è la metafora inquietante per CVE-2025-42957, una vulnerabilità critica di SAP S/4HANA ora armata dagli hacker. Il software ERP di SAP costituisce la spina dorsale digitale di migliaia di multinazionali - gestendo tutto, dai salari alle catene di approvvigionamento. Quando quella spina dorsale viene compromessa, l’intero corpo aziendale è a rischio.

Analisi della vulnerabilità

Divulgata e corretta per la prima volta nell’agosto 2025, CVE-2025-42957 è una falla di iniezione di codice ABAP nascosta in un modulo di funzione remota (RFC) di SAP S/4HANA. In parole semplici: se un attaccante riesce ad accedere anche solo con un account di basso livello, può inserire comandi malevoli nel sistema - aggirando i controlli di sicurezza e assumendo il controllo come amministratore onnipotente. Secondo SecurityBridge, l’azienda tedesca di sicurezza SAP che ha scoperto la falla, lo sfruttamento richiede uno sforzo tecnico minimo e può essere eseguito da remoto tramite rete.

Ricercatori di Pathlock e SecurityBridge hanno entrambi confermato che la vulnerabilità è attivamente sfruttata. Pathlock ha rilevato “attività anomale” coerenti con attacchi reali, mentre SecurityBridge ha dimostrato quanto facilmente gli aggressori possano aumentare i propri privilegi, creare backdoor nascoste, rubare dati o installare ransomware. Poiché il codice ABAP di SAP è aperto all’ispezione, il reverse engineering della patch per produrre exploit funzionanti è quasi banale per hacker esperti - un dettaglio evidenziato nei report di BleepingComputer e Dark Reading.

Impatto aziendale: lezioni dagli attacchi passati

Non è la prima volta che SAP si trova sull’orlo del disastro. All’inizio del 2025, una zero-day su NetWeaver (CVE-2025-31324) ha scatenato ondate di attacchi dopo la divulgazione, causando caos operativo alle aziende non aggiornate. Il copione è noto: viene scoperta una vulnerabilità critica, vengono rilasciate le patch, ma gli attaccanti si affrettano a colpire chi non aggiorna in tempo. Nel caso di CVE-2025-42957, persino una semplice email di phishing che garantisce un accesso utente minimo può bastare a scatenare una violazione su larga scala.

Il National Cyber Security Center olandese e la stessa SAP hanno diffuso avvisi urgenti, sottolineando che il rischio non è ipotetico. La vulnerabilità riguarda sia le versioni on-premise che quelle private cloud di S/4HANA, oltre a prodotti correlati come SAP NetWeaver e Business One. Esperti come Shane Barney, CISO di Keeper Security, definiscono questo caso un “esempio da manuale” di quanto sia pericolosa l’esecuzione dinamica di codice nei software aziendali.

Implicazioni globali e corsa alla patch

Perché la questione va oltre il reparto IT? I sistemi SAP gestiscono il flusso vitale del commercio globale - se gli aggressori ne prendono il controllo, possono rubare dati finanziari, interrompere le catene di approvvigionamento o installare ransomware in grado di bloccare interi settori industriali. La facilità di sfruttamento, unita alla criticità dei sistemi, fa temere attacchi mirati da parte di criminali o persino attori statali intenzionati a paralizzare infrastrutture aziendali vitali.

Applicare la patch è l’unica difesa sicura. Le note di sicurezza SAP 3627998 e 3633838 forniscono le correzioni, e le organizzazioni sono invitate ad aggiornare immediatamente e monitorare eventuali attività amministrative sospette. Come avverte SecurityBridge, “gli attaccanti sanno già come sfruttarla - lasciare i sistemi SAP non aggiornati significa esporli.”

Conclusione: il costo dell’attesa

Con le porte digitali dei giganti aziendali mondiali lasciate socchiuse, CVE-2025-42957 è più di un semplice problema tecnico - è un campanello d’allarme. Nella corsa tra patch e exploit, l’esitazione può significare disastro. Per i clienti SAP, il messaggio non potrebbe essere più chiaro: aggiornare subito, o rischiare di consegnare le chiavi del regno proprio agli avversari in agguato alle porte.