La combinación de la travesía de directorios y la inyección de registros puede comprometer sistemas CRM

Recientemente se descubrió una combinación de dos vulnerabilidades de seguridad en el Servidor de Aplicaciones Java SAP NetWeaver que podrían haber sido utilizadas para hackear sistemas de gestión de relaciones con los clientes (CRM). Cuando se explotan juntas, las vulnerabilidades de travesía de directorios e inyección de registros pueden llevar a la divulgación de información, escalada de privilegios y compromiso total del sistema SAP CRM. Ambos errores fueron resueltos mediante actualizaciones el mes pasado.

Los problemas de seguridad fueron calificados con una puntuación de 6.3 y 7.7 por CVSS Base Score v.3, pero su impacto combinado fue mucho más grave, según los especialistas en seguridad de aplicaciones empresariales de ERPScan, la consultoría que descubrió las vulnerabilidades. Los resultados de un escaneo realizado por la empresa y publicados ayer sugieren que más de 500 sistemas SAP CRM no habían sido parcheados contra estas vulnerabilidades y eran accesibles a través de Internet.

Los investigadores compartieron los detalles de los errores y cómo pueden ser explotados con SAP antes del desarrollo de los parches. Un atacante utiliza la vulnerabilidad de travesía de directorios para leer las credenciales de administrador encriptadas del archivo de configuración del sistema. Luego, descifran esta contraseña e inician sesión en el portal SAP CRM. A continuación, el atacante utiliza otra vulnerabilidad de travesía de directorios para cambiar la ruta del archivo de registro de SAP a la ruta de la aplicación web raíz. Finalmente, utilizando una solicitud especial, pueden inyectar código malicioso en el archivo de registro y llamarlo de forma anónima desde un servidor web remoto.

Los investigadores de ERPScan encontraron un error en SAP NetWeaver AS Java en febrero de 2016, pero inicialmente SAP no pudo replicar el problema. Luego, se clasificó erróneamente como un duplicado de un problema informado anteriormente, lo que retrasó el proceso de remediación del eficiente fabricante de software alemán. En respuesta a las consultas de El Reg, SAP confirmó que había parcheado ambos problemas el mes pasado y instó a los clientes a aplicar las actualizaciones, si aún no lo habían hecho. Agradeció al equipo de ERPScan por señalar las fallas.

Fuente del artículo: The Register

Te puede interesar

Soluciones ERP para las Necesidades Complejas de Firmas de Consultoría Global

Soluciones ERP para las Necesidades Complejas de Firmas de Consultoría Global En el mundo empresarial contemporáneo, las firmas de consultoría global enfrentan desafíos únicos derivados

December 23, 2024 No Comments

ERP y la Transformación Digital en la Industria Editorial

ERP y la Transformación Digital en la Industria Editorial La industria editorial ha estado en constante evolución desde la invención de la imprenta. En la

December 23, 2024 No Comments

Construyendo una Base de E-commerce Escalable con un ERP Integrado

Construyendo una Base de E-commerce Escalable con un ERP Integrado En la actualidad, el comercio electrónico se ha convertido en un pilar fundamental para el

December 23, 2024 No Comments

Axial ERP ofrece un abanico de soluciones robustas para gestión y automatización de procesos empresariales, caracterizadas por su simplicidad de uso y su capacidad para brindar una experiencia de gestión empresarial completamente integrada.

Testimonios y Casos de Estudio

Recorrido del Producto

La combinación de la travesía de directorios y la inyección de registros puede comprometer sistemas CRM

Te puede interesar

Menú

Contacto

info@axial-erp.co

(+57) 601 5898710

Bogotá Colombia | Estados Unidos