Gran falla de seguridad en SAP Netweaver (#bh)

El experto en seguridad Alexander Polyakov de ERPScan presentó un agujero de seguridad del motor J2EE de SAP NetWeaver el cual le permite al atacante crear remotamente nuevas cuentas de administrador. Polyakov demostró la falla en la conferencia de seguridad Black Hat en Las Vegas. Primer buscó con Google una cadena particular que es un indicador típico del Portal de Management de sistemas SAP.

Luego usando la URL de la búsqueda usó un script Perl que ejecutó el ataque en dos pasos. Primero el script crea un usuario nuevo y luego promueve ese nuevo usuario como administrador. Usando ese nuevo usuario luego es posible ingresar al sistema vulnerable.

El script será publicado por el investigador tres meses después que SAP publique la actualización, dando suficiente tiempo a los clientes de SAP para actualizar sus sistemas.

El investigador no dará más detalles hasta que SAP no haya eliminado la falla con una actualización del software.”

Traducción: Raúl Batista - Segu-Info

Fuentes:

• Major security hole in SAP's NetWeaver
  http://www.h-online.com/security/news/item/Major-security-hole-in-SAP-s-NetWeaver-1319808.html
• SAP Will Issue Patch for NetWeaver Vulnerability
  http://www.pcworld.com/businesscenter/article/237373/sap_will_issue_patch_for_netweaver_vulnerability.html
• Next week a half of SAP systems, available in Internet, can be hacked
  http://erpscan.com/press-center/news/next-week-a-half-of-sap-systems-available-in-internet-can-be-hacked/

Suscríbete a nuestro Boletín