Aggiornamenti recenti Luglio 30th, 2025 3:48 PM
Lug 22, 2016 Marco Schiaffino Emergenze, Gestione dati, Intrusione, News, Vulnerabilità 0
Dopo la raffica di aggiornamenti che ha interessato Oracle, è il turno di SAP. L’azienda tedesca ha recentemente corretto 15 vulnerabilità che affliggevano i suoi sistemi, alcune delle quali identificate come “critiche”.
A pubblicare l’avviso dell’avvenuto aggiornamento e la descrizione delle vulnerabilità corrette è stata Onapsis, che in un post analizza anche la correlazione tra due falle di sicurezza il cui uso combinato avrebbe consentito a un pirata informatico di acquisire l’accesso al sistema con relativa facilità.
Nel dettaglio, Nahuel Sanchez spiega che le due vulnerabilità (CVE-2016-6145 e CVE-2016-6144) avrebbero permesso di risalire, in maniera piuttosto semplice, alle credenziali di accesso degli utenti.
Sanchez si è accorto, infatti, che i messaggi di errore visualizzati dal sistema HANA in caso di un tentativo di accesso con credenziali errate cambiavano significativamente a seconda che lo user name non esistesse o fosse invece bloccato (e quindi esistente). Insomma: andando a tentativi, un eventuale aggressore avrebbe potuto individuare gli user name esistenti.
Le modalità di visualizzazione dei messaggi di errore in caso di incorretto login avrebbero consentito di estrarre informazioni sensibili sugli utenti esistenti.
A peggiorare le cose, c’era il fatto che HANA non prevedeva un limite massimo di tentativi di login per il SYSTEM user (il super-amministratore del database) esponendo così il sistema a un eventuale attacco basato su tecniche di brute forcing.
L’accesso con un simile livello di privilegi avrebbe consentito di ottenere qualsiasi tipo di informazione memorizzato all’interno del sistema.
Il rilascio da parte di Onapsis delle informazioni riguardanti le vulnerabilità su SAP sarebbe però solo un antipasto. Nelle prossime settimane, secondo quanto indicato nel comunicato, la società di sicurezza dovrebbe rendere pubblica altre 40 falle di sicurezza che affliggono i sistemi di SPA e Oracle.
Gen 18, 2019 0
Lug 30, 2025 0
Lug 29, 2025 0
Lug 29, 2025 0
Lug 28, 2025 0
Lug 30, 2025 0
Lug 29, 2025 0
Lug 28, 2025 0
Lug 28, 2025 0
Lug 29, 2025 0
Tra le minacce più recenti che stanno facendo tremare il...Lug 17, 2025 0
Gli attacchi DDoS, compresi quelli ipervolumetrici,...Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 30, 2025 0
Martedì Apple ha rilasciato una fix che risolve una...Lug 29, 2025 0
I gruppi di cyberspionaggio legati alla Cina stanno...Lug 28, 2025 0
La scorsa settimana Google ha annunciato OSS Rebuild,...Lug 28, 2025 0
Negli ultimi sette giorni, il panorama delle minacce...Lug 25, 2025 0
I ricercatori di Prodaft, compagnia di cybersecurity, hanno...