Salta al contenuto
PL Consulting
IT DE
Parla con un consulente

← Tutte le novità

Novità ACN/CSIRT ACN patch SAP sicurezza vulnerabilità

ACN Avvisa: Aggiornamenti di Sicurezza Critici per Vulnerabilità SAP

9 giugno 2026

Fonte ACN / CSIRT Italia ↗

In sintesi

ACN informa sul Security Patch Day di giugno di SAP, che ha rilasciato aggiornamenti per risolvere nuove vulnerabilità. Tra queste, tre sono classificate come “critiche” e una come “alta”. È fondamentale applicare tempestivamente le patch per proteggere i sistemi SAP.

Contesto

Nel contesto del Security Patch Day di giugno 2026, SAP ha rilasciato una serie di aggiornamenti di sicurezza per affrontare molteplici nuove vulnerabilità. L'ACN/CSIRT Italia ha emesso un avviso (AL03/260609/CSIRT-ITA) per segnalare l'importanza di questi aggiornamenti, sottolineando la presenza di tre vulnerabilità classificate come “critiche” e una come “alta” (con un impatto sistemico valutato come “Alto” con un punteggio di 66.53).
Le vulnerabilità risolte riguardano diverse tipologie di attacco, tra cui Authentication Bypass, Security Feature Bypass, Remote Code Execution, Denial of Service, Information Disclosure e Privilege Escalation. I prodotti affetti includono diverse versioni di SAP NetWeaver AS ABAP e ABAP Platform (700, 701, 702, 731, 740, 750, 751, 752, 753, 754, 755, 756, 757, 758, 816, 918, 919), KRNL64NUC (7.22, 7.22EXT), KRNL64UC (7.22, 7.22EXT, 7.53), KERNEL (7.22, 7.53, 7.54, 7.77, 7.89, 7.93, 9.16, 9.18, 91.9) e NetWeaver Application Server Java (Web Container), versione ENGINEAPI 7.50.
Le CVE specifiche di gravità critica e alta identificate sono CVE-2026-40128, CVE-2026-44748, CVE-2026-27671 e CVE-2026-44751. Non sono disponibili dettagli circa Proof-of-Concept (POC) o sfruttamento (EXPLOITATION) nel testo fornito.

Perché conta

Questo avviso è di cruciale importanza per DPO e responsabili IT, in quanto le vulnerabilità risolte da SAP possono avere un impatto diretto sulla sicurezza dei dati e sulla continuità operativa. Tipologie di attacchi come la Remote Code Execution (RCE), l'Information Disclosure o Privilege Escalation mettono a rischio l'integrità, la riservatezza e la disponibilità dei dati trattati, inclusi potenziali dati personali, con gravi implicazioni per la privacy e il GDPR.
La mancata applicazione tempestiva di queste patch espone le organizzazioni a rischi significativi di data breach, violazioni della privacy (con potenziali sanzioni GDPR) e interruzioni di servizio. Per le entità rientranti nel perimetro della Direttiva NIS2, la gestione proattiva e l'applicazione di tali aggiornamenti sono misure di sicurezza tecniche essenziali per garantire la resilienza dei sistemi informatici e prevenire incidenti che richiederebbero notifica alle autorità competenti. Inoltre, un'efficace gestione delle vulnerabilità è un requisito fondamentale per la conformità agli standard ISO/IEC 27001.

Cosa fare

  • Verificare l'elenco dei prodotti e delle versioni SAP affette all'interno della propria infrastruttura.
  • Consultare immediatamente il bollettino di sicurezza ufficiale di SAP per le istruzioni dettagliate di patching.
  • Pianificare e applicare tempestivamente gli aggiornamenti di sicurezza per tutti i sistemi SAP vulnerabili.
  • Eseguire test adeguati dopo l'applicazione delle patch per assicurare la piena funzionalità dei sistemi.
  • Mantenere un inventario aggiornato dei prodotti SAP in uso e delle relative versioni per una rapida identificazione delle superfici di attacco.

Cosa evitare

  • Evitare di posticipare l'applicazione degli aggiornamenti di sicurezza, data la gravità delle vulnerabilità.
  • Non ignorare le segnalazioni dell'ACN/CSIRT Italia relative a vulnerabilità critiche.
  • Non installare aggiornamenti senza prima aver consultato il bollettino ufficiale del vendor e aver compreso le implicazioni.

Implicazioni pratiche

Le implicazioni per un'organizzazione che non interviene prontamente sono significative: si rischia la compromissione dei sistemi critici SAP, l'esposizione di dati sensibili (inclusi dati personali) a causa di Information Disclosure o Privilege Escalation, e la potenziale interruzione dei servizi aziendali essenziali tramite attacchi Denial of Service o Remote Code Execution. Tutto ciò può tradursi in danni reputazionali, sanzioni normative (GDPR, NIS2) e costi di ripristino elevati.

Errori da evitare

  • Sottovalutare l'impatto delle vulnerabilità classificate come “critiche” o “alte”.
  • Confidare unicamente in misure di sicurezza perimetrale senza aggiornare il software interno.
  • Eseguire gli aggiornamenti senza una preventiva fase di test su ambienti non di produzione.

Domande di self-assessment

  • Quali sistemi SAP sono presenti nella nostra infrastruttura e quali versioni stiamo utilizzando?
  • Abbiamo un processo formalizzato e tempestivo per l'applicazione degli aggiornamenti di sicurezza dei vendor?
  • Sono stati valutati i rischi associati alle vulnerabilità SAP non patchate in relazione a dati personali o servizi essenziali?
  • Il nostro piano di risposta agli incidenti è adeguato a gestire un potenziale incidente derivante da una vulnerabilità SAP non risolta?

Riferimenti

Normativa nazionale: ACN / CSIRT Italia Alert AL03/260609/CSIRT-ITA · SAP Security Note: https://support.sap.com/en/my-support/knowledge-base/security-notes-news/june-2026.html · GDPR · Direttiva NIS2 · ISO/IEC 27001

Leggi l'articolo originale su ACN / CSIRT Italia ↗