Luego usando la URL de la búsqueda usó un script Perl que ejecutó el ataque en dos pasos. Primero el script crea un usuario nuevo y luego promueve ese nuevo usuario como administrador. Usando ese nuevo usuario luego es posible ingresar al sistema vulnerable.
El script será publicado por el investigador tres meses después que SAP publique la actualización, dando suficiente tiempo a los clientes de SAP para actualizar sus sistemas.
El investigador no dará más detalles hasta que SAP no haya eliminado la falla con una actualización del software.”
Traducción: Raúl Batista - Segu-Info
Fuentes:
- Major security hole in SAP's NetWeaver
http://www.h-online.com/security/news/item/Major-security-hole-in-SAP-s-NetWeaver-1319808.html - SAP Will Issue Patch for NetWeaver Vulnerability
http://www.pcworld.com/businesscenter/article/237373/sap_will_issue_patch_for_netweaver_vulnerability.html - Next week a half of SAP systems, available in Internet, can be hacked
http://erpscan.com/press-center/news/next-week-a-half-of-sap-systems-available-in-internet-can-be-hacked/
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!