{"id":5250,"date":"2011-08-13T06:39:50","date_gmt":"2011-08-13T09:39:50","guid":{"rendered":"http:\/\/brainlabs.com.ar\/novedad\/?p=5250"},"modified":"2022-11-28T11:52:35","modified_gmt":"2022-11-28T14:52:35","slug":"gran-falla-de-seguridad-en-sap-netweaver-bh","status":"publish","type":"post","link":"https:\/\/www.brainlabs.com\/novedad\/gran-falla-de-seguridad-en-sap-netweaver-bh\/","title":{"rendered":"Gran falla de seguridad en SAP Netweaver (#bh)"},"content":{"rendered":"

El experto en seguridad Alexander Polyakov de ERPScan present\u00f3 un agujero de seguridad del motor J2EE de SAP NetWeaver el cual le permite al atacante crear remotamente nuevas cuentas de administrador. Polyakov demostr\u00f3 la falla en la conferencia de seguridad Black Hat<\/a> en Las Vegas. Primer busc\u00f3 con Google una cadena particular que es un indicador t\u00edpico del Portal de Management de sistemas SAP.<\/p>\n

Luego usando la URL de la b\u00fasqueda us\u00f3 un script Perl que ejecut\u00f3 el ataque en dos pasos. Primero el script crea un usuario nuevo y luego promueve ese nuevo usuario como administrador. Usando ese nuevo usuario luego es posible ingresar al sistema vulnerable.<\/p>\n

El script ser\u00e1 publicado por el investigador tres meses despu\u00e9s que SAP publique la actualizaci\u00f3n, dando suficiente tiempo a los clientes de SAP para actualizar sus sistemas.<\/p>\n

El investigador no dar\u00e1 m\u00e1s detalles hasta que SAP no haya eliminado la falla con una actualizaci\u00f3n del software.\u201d<\/p>\n

Traducci\u00f3n: <\/strong>Segu-Info<\/strong><\/a><\/p>\n

Fuentes:<\/strong><\/p>\n