Aggiornamenti recenti Aprile 23rd, 2024 2:00 PM
Lug 22, 2016 Marco Schiaffino Emergenze, Gestione dati, Intrusione, News, Vulnerabilità 0
Dopo la raffica di aggiornamenti che ha interessato Oracle, è il turno di SAP. L’azienda tedesca ha recentemente corretto 15 vulnerabilità che affliggevano i suoi sistemi, alcune delle quali identificate come “critiche”.
A pubblicare l’avviso dell’avvenuto aggiornamento e la descrizione delle vulnerabilità corrette è stata Onapsis, che in un post analizza anche la correlazione tra due falle di sicurezza il cui uso combinato avrebbe consentito a un pirata informatico di acquisire l’accesso al sistema con relativa facilità.
Nel dettaglio, Nahuel Sanchez spiega che le due vulnerabilità (CVE-2016-6145 e CVE-2016-6144) avrebbero permesso di risalire, in maniera piuttosto semplice, alle credenziali di accesso degli utenti.
Sanchez si è accorto, infatti, che i messaggi di errore visualizzati dal sistema HANA in caso di un tentativo di accesso con credenziali errate cambiavano significativamente a seconda che lo user name non esistesse o fosse invece bloccato (e quindi esistente). Insomma: andando a tentativi, un eventuale aggressore avrebbe potuto individuare gli user name esistenti.
A peggiorare le cose, c’era il fatto che HANA non prevedeva un limite massimo di tentativi di login per il SYSTEM user (il super-amministratore del database) esponendo così il sistema a un eventuale attacco basato su tecniche di brute forcing.
L’accesso con un simile livello di privilegi avrebbe consentito di ottenere qualsiasi tipo di informazione memorizzato all’interno del sistema.
Il rilascio da parte di Onapsis delle informazioni riguardanti le vulnerabilità su SAP sarebbe però solo un antipasto. Nelle prossime settimane, secondo quanto indicato nel comunicato, la società di sicurezza dovrebbe rendere pubblica altre 40 falle di sicurezza che affliggono i sistemi di SPA e Oracle.
Gen 18, 2019 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Apr 22, 2024 0
Apr 22, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 12, 2024 0
Al Google Next ’24 abbiamo assistito a un interessante...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...Apr 22, 2024 0
I cyber attacchi moderni riescono a colpire anche le...Apr 22, 2024 0
Il JPCERT Coordination Center, l’organizzazione...