Netcrook Logo
👤 CIPHERWARDEN
🗓️ 17 Oct 2025  

Dentro la bomba a orologeria di SAP NetWeaver: il bug senza login che apre i forzieri aziendali

Una nuova vulnerabilità scoperta in SAP NetWeaver consente agli aggressori di prendere il controllo dei server senza effettuare il login - minacciando la spina dorsale digitale delle principali aziende mondiali.

Fatti Rapidi

  • Il bug di SAP NetWeaver (CVE-2025-42944) permette agli aggressori di prendere il controllo dei server senza credenziali di accesso.
  • La vulnerabilità ottiene un punteggio perfetto di 10.0 sulla scala di rischio CVSS - massima gravità.
  • Sfrutta una debolezza nel modo in cui la piattaforma Java di SAP gestisce alcuni dati (“deserializzazione non sicura”).
  • Altri bug gravi includono vulnerabilità di directory traversal e caricamento di file senza restrizioni.
  • Nessun attacco noto finora, ma gli esperti raccomandano di applicare subito le patch per prevenire violazioni future.

Il ponte levatoio digitale lasciato abbassato

Immagina una fortezza con il ponte levatoio lasciato aperto - non per errore, ma per progettazione. Questa è la realtà inquietante per migliaia di organizzazioni che utilizzano SAP NetWeaver, la piattaforma software aziendale che gestisce tutto, dalle buste paga alle catene di approvvigionamento. Questo mese, i ricercatori di sicurezza hanno rivelato una vulnerabilità così grave da permettere ai cybercriminali di entrare indisturbati - senza password, senza chiave, solo con un pacchetto di dati abilmente costruito.

La vulnerabilità, identificata come CVE-2025-42944, si trova nel cuore del server Java di SAP NetWeaver. In termini tecnici, è un bug di “deserializzazione non sicura” - un termine complesso che si riduce a questo: il software si fida troppo dei dati in ingresso. Gli aggressori possono inviare comandi dannosi mascherati da informazioni legittime attraverso una porta secondaria poco sorvegliata, il modulo RMI-P4. Quando il server tenta di elaborare questi dati avvelenati, finisce per eseguire i comandi dell’attaccante, consegnando potenzialmente le chiavi del regno.

Non solo una porta: un insieme di falle critiche

L’aggiornamento di sicurezza di giugno di SAP sembra una corsa agli armamenti informatica. Oltre al bug di deserializzazione, sono state corrette altre due vulnerabilità critiche: una falla di directory traversal (CVE-2025-42937) che potrebbe permettere agli aggressori di sovrascrivere file di sistema vitali, e un problema di caricamento di file senza restrizioni (CVE-2025-42910) in Supplier Relationship Management, che apre la porta a malware nascosti. Ognuna di queste vulnerabilità ha un punteggio di rischio superiore a 9, il che significa che sono considerate estremamente facili da sfruttare e potenzialmente devastanti.

Per rafforzare le difese, SAP è andata oltre una semplice patch. L’ultima correzione introduce un filtro di sicurezza a livello Java, bloccando intere categorie di dati pericolosi dall’essere processati - come installare un metal detector a ogni ingresso, non solo all’entrata principale. Questa misura, sviluppata in collaborazione con aziende di sicurezza e i laboratori interni di SAP, riflette la crescente sofisticazione degli attaccanti, che spesso concatenano più vulnerabilità per massimizzare l’impatto.

Un copione già visto - e un avvertimento per il futuro

Le vulnerabilità di deserializzazione non sono nuove, ma le loro conseguenze sono spesso catastrofiche. Nel 2017, una falla simile in Oracle WebLogic portò a una serie di attacchi ransomware. Anche SAP NetWeaver è già stato preso di mira: nel 2020, US-CERT avvertì che sistemi non aggiornati venivano attivamente sfruttati da gruppi criminali sofisticati e persino da attori statali. L’ubiquità della piattaforma - utilizzata dal 92% delle aziende Forbes Global 2000 - la rende un obiettivo ambito sia per i cybercriminali che per le spie.

Finora, non ci sono prove che queste nuove vulnerabilità siano state sfruttate “in the wild”. Ma come insegna la storia, il tempo tra la divulgazione di un bug e i primi attacchi si misura in giorni. Gli esperti invitano i clienti SAP a installare subito le patch e a rivedere le configurazioni di sistema. Il messaggio è chiaro: nella cybersecurity, la compiacenza è il nemico. L’aggiornamento trascurato di oggi potrebbe essere la violazione da prima pagina di domani.

Man mano che il mondo digitale diventa sempre più complesso, anche la più piccola debolezza trascurata può abbattere i giganti. Per le aziende che affidano a SAP i loro dati più sensibili, la vigilanza non è solo una buona pratica - è una questione di sopravvivenza.

WIKICROOK

  • Deserializzazione: La deserializzazione converte i dati in oggetti utilizzabili dai programmi. Se non viene eseguita in modo sicuro, può consentire agli aggressori di iniettare istruzioni dannose nelle applicazioni.
  • CVSS (Common Vulnerability Scoring System): Il CVSS è un sistema standard per valutare la gravità delle vulnerabilità di sicurezza, assegnando punteggi da 0 (basso) a 10 (critico) per guidare le priorità di risposta.
  • Directory Traversal: Il Directory Traversal è una vulnerabilità che consente agli aggressori di accedere o salvare file al di fuori della cartella prevista, rischiando l’esposizione di dati di sistema sensibili.
  • RMI: RMI (Remote Method Invocation) permette ai componenti software su sistemi diversi di comunicare a distanza. In SAP, il modulo P4 utilizza RMI, che necessita di adeguate misure di sicurezza.
  • Patch: Una patch è un aggiornamento software rilasciato per correggere vulnerabilità di sicurezza o bug nei programmi, aiutando a proteggere i dispositivi dalle minacce informatiche e a migliorarne la stabilità.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news