Por Reuters
LONDRES – Pelo menos uma dúzia de empresas e órgãos governamentais foram atacados e milhares estão expostos a violações de dados por hackers que exploram antigas falhas de segurança em softwares de gerenciamento, disseram duas empresas de segurança cibernética em um estudo publicado na quarta-feira.
O Departamento de Segurança Interna emitiu um alerta citando o estudo realizado pelas empresas de segurança Digital Shadows e Onapsis, que destaca os riscos impostos a milhares de sistemas empresariais não corrigidos dos fabricantes de software Oracle e SAP.
Isso pode permitir que hackers roubem segredos corporativos, disseram os pesquisadores.
Os sistemas de duas agências governamentais e empresas dos setores de mídia, energia e finanças foram atingidos após não instalarem patches ou tomarem outras medidas de segurança recomendadas pela Oracle ou pela SAP, afirmaram as empresas de segurança Onapsis e Digital Shadows no relatório recém-publicado.
O alarme foi levantado porque as empresas armazenam dados altamente confidenciais – incluindo resultados financeiros, segredos de fabricação e números de cartão de crédito – nos produtos vulneráveis, conhecidos como software de planejamento de recursos empresariais (ERP) e em aplicativos relacionados para gerenciar clientes, funcionários e fornecedores.
Em um alerta intitulado “Atividade cibernética maliciosa direcionada a aplicativos de ERP”, o Centro Nacional de Integração da Segurança e da Cibersegurança da Homeland Security destacou sinais de crescente foco de hackers em aplicativos de ERP, citando o estudo.
“Um invasor pode explorar essas vulnerabilidades para obter acesso a informações confidenciais”, disse NCCIC, um braço da equipe de prontidão de emergência de computadores dos EUA (US-CERT).
Muitas dessas edições datam de uma década ou mais, mas o novo relatório mostra o crescente interesse de ativistas hackers, cibercriminosos e agências de espionagem do governo em capitalizar sobre essas questões, disse o presidente-executivo da Onapsis, Mariano Nunez, à Reuters.
“Esses invasores estão prontos para explorar riscos antigos que lhes dão acesso total aos sistemas SAP e Oracle sem serem detectados”, disse ele. “O nível de urgência entre diretores de segurança e CEOs deve ser muito maior”.
Um porta-voz da SAP disse que, em geral, a empresa leva as questões de segurança a sério em toda a organização.
“Nossa recomendação para todos os nossos clientes é implementar os patches de segurança SAP assim que estiverem disponíveis – normalmente na segunda terça-feira de cada mês – para proteger a infra-estrutura SAP contra ataques.”
A Oracle não estava imediatamente disponível para comentar.
Ambas as empresas liberam patches regulares para bugs de segurança conhecidos em seus softwares. No entanto, os clientes muitas vezes relutam em fazer correções por medo de que isso possa interromper suas atividades de fabricação, vendas ou finanças.
Os riscos também surgem de erros de instalação ou de movimentos crescentes para vincular sistemas de negócios de back-office tradicionalmente à nuvem, a fim de alcançar usuários móveis ou on-line.
O logotipo da SAP é visto nos escritórios da empresa SAP em Woodmead, Joanesburgo, África do Sul, em 26 de março de 2018 (Reuters / Siphiwe Sibeko)
Segurança através da obscuridade
O novo alerta segue um anterior alerta do Departamento de Segurança Interna de 2016 a alguns clientes da SAP depois que a Onapsis revelou planos de hackers chineses para explorar softwares desatualizados usados por dezenas de empresas, disse Nunez.
Em sua pesquisa mais recente, a Onapsis e a empresa de monitoramento on-line Digital Shadows identificaram cerca de 17.000 instalações de software SAP e Oracle expostas à Internet em mais de 3.000 empresas, agências governamentais e universidades.
Eles não mencionaram as organizações afetadas, mas dados vistos pela Reuters mostram que muitas das empresas mais conhecidas do mundo correm risco.
Pelo menos 10.000 servidores estão executando softwares incorretamente configurados que poderiam sujeitá-los a ataques diretos usando exploits SAP ou Oracle conhecidos, alertaram os autores do relatório.
Mais de 4.000 bugs conhecidos no SAP e 5.000 no software da Oracle representam ameaças à segurança, especialmente em sistemas mais antigos que as operadoras podem considerar antieconômicos para consertar, disseram no relatório de quarta-feira.
“Os ataques divulgados publicamente são raros, então o problema continua sendo amplamente ignorado”, escreveu o analista da Gartner Neil MacDonald em uma análise de ferramentas de segurança corporativa no ano passado.
Um dos ataques de maior perfil ocorreu em 2013 e 2014, quando hackers usaram uma vulnerabilidade do SAP para invadir o Serviço de Investigações dos EUA, o maior provedor comercial de verificação de antecedentes e autorizações de segurança para funcionários federais.
Este ano, hackers começaram a explorar uma vulnerabilidade em servidores WebLogic, que a Oracle corrigiu em outubro passado. Seus alvos incluíam atacar os sistemas Oracle PeopleSoft ERP, de modo a ganhar dinheiro com as criptomoedas de mineração, segundo o relatório.
A Digital Shadows vasculhou as pesquisas do Google, as redes sociais e a dark web, onde encontraram discussões em fóruns de hackers chineses e russos sobre como usar vulnerabilidades SAP e Oracle específicas.
Eles também descobriram que alguns hackers estavam espionando em fóruns de discussão onde fornecedores terceirizados de tecnologia compartilham dicas de trabalho, incluindo senhas padrão que hackers podem usar para acessar alguns sistemas.
O interesse dos hackers em como explorar as vulnerabilidades da SAP e Oracle aumentaram dois anos atrás e no ano passado aumentaram 160% no Twitter, de acordo com o estudo.
Reportagem de Eric Auchard.
