A Digital Shadows e a Onapsis alertam que há várias vulnerabilidades conhecidas e não sanadas nas plataformas de Oracle e SAP. Estas brechas podem levar a ataques informáticos que visem o roubo de dados de utilizadores privados ou de informação empresarial confidencial.
Os softwares de ERP (de enterprise resource planning) e de gestão de cliente, funcionários e fornecedores disponibilizados pela SAP e pela Oracle são usados para guardar informação sensível como resultados financeiros, segredos de produção ou números de cartões de crédito. Um atacante pode explorar estas vulnerabilidades para obter acesso a informação sensível, alerta um estudo citado pelo Departamento de Segurança Interno dos EUA.
Muitas destas falhas são conhecidas há uma década, mas só agora se regista um interesse crescente dos hacktivistas, cibercriminosos e espiões governamentais em tirar partido delas. «Estes atacantes estão prontos a explorar falhas com anos e que lhes dão acesso total aos sistemas SAP e Oracle sem serem detetados», afirma Mariano Nunez, CEO da Onapsis, citado pela Reuters.
A SAP recomenda, através do seu porta-voz, que todos os clientes atualizem os sistemas assim que os updates são lançados, tipicamente a cada segunda terça-feira do mês. A Oracle não respondeu oficialmente ao assunto.
O estudo revela que foram identificadas mais de 17 mil instalações de SAP e Oracle que estão expostas, em mais de três mil empresas, agências governamentais e universidades. Mais de dez mil servidores estão com software incorretamente configurado, o que pode faciltar os ataques. Há ainda mais de quatro mil falhas conhecidas no SAP e mais de cinco mil conhecidas na Oracle e que representam riscos de segurança, especialmente em sistemas mais antigos onde pode ser considerado economicamente desvantajoso fazer uma atualização.
