You are here: Home » None

Vulnerabilidad detectada hace seis años aún afecta a usuarios de SAP.

by Esteban on May 12, 2016 0 Comments

A pesar que los sistemas SAP suelen ser utilizados para almacenar y gestionar información de importancia crítica para la empresa, muchos de sus clientes se desentienden de instalar actualizaciones de seguridad. 

La entidad US-CERT, dependiente del Ministerio del Interior de Estados Unidos (Department of Homeland Security), publicó el 11 de mayo lo que constituye su primera alerta de seguridad por vulnerabilidades en sistemas SAP

La advertencia no se refiere a una nueva vulnerabilidad, propiamente tal, sino al hecho que un gran número de clientes de SAP, incluyendo grandes empresas, utilizan sistemas no actualizados o mal configurados, que de esa forma son vulnerables a un agujero de seguridad en Invoker Servlet, parcheado por SAP en 2010

La empresa de seguridad informática Onapsis dice haber detectado en foros públicos chinos información en el sentido que la vulnerabilidad habría sido explotada en, al menos, 36 empresas en el período comprendido entre 2013 y 2016. En un informe elaborado por Onapsis, la empresa indica que “sólo hemos visto la punta del témpano” y que no es posible descartar que las vulnerabilidades estén siendo utilizadas en ataques activos. 

Las 36 empresas del caso tienen su sede, o son subsidiarias de empresas registradas en Estados Unidos, Gran Bretaña, Alemania, China, India, Japón y Corea del Sur. Las empresas operan en los ámbitos de hidrocarburos, telecomunicaciones, comercio, automoción o producción siderúrgica, como asimismo servicios públicos incluido suministro eléctrico.

La vulnerabilidad está radicada en Invoker Servlet, funcionalidad de sistemas SAP NetWeaver Application Server.Aparentemente, y afecta todos los elementos ejecutados en las plataformas SAP Java, o al menos las siguientes:

  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Life-cycle Management (PLM)
  • SAP Customer Relationship Management (CRM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP Enterprise Portal (EP)
  • SAP Process Integration (PI)
  • SAP Exchange Infrastructure (XI)
  • SAP Solution Manager (SolMan)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP Central Process Scheduling (CPS)
  • SAP NetWeaver Composition Environment (CE)
  • SAP NetWeaver Enterprise Search
  • SAP NetWeaver Identity Management (IdM)
  • SAP Governance, Risk & Control 5.x (GRC)

Las vulnerabilidades hacen posible para intrusos obtener acceso como administrador a los sistemas SAP vía Internet. Para ello, sólo se requiere la dirección IP del sistema SAP, y un navegador, como asimismo un código de ataque.

Los usuarios de SAP, que por una u otra razón no tengan la posibilidad de instalar el parche en cuestión, pueden alternativamente desactivar Invoker Servlet en el sistema. Sin embargo, Onapsis advierte que esta desactivación podría ser anulada por aplicaciones Java específicas o personalizadas por la propia empresa.

Según Onapsis, SAP ha publicado más de 3000 parches de seguridad en los seis años siguientes a la vulnerabilidad parcheada en 2010. Esto equivale, en promedio, a 30 parches mensuales.

US-CERT presenta una serie de consejos a los administradores SAP que no tengan control total de la seguridad del sistema. En primer lugar, recomienda eliminar todas las vulnerabilidades conocidas, como asimismo las configuraciones erróneas. Asimismo, sugiere identificar y analizar la configuración de seguridad entre los sistemas y aplicaciones, con el fin de mapear los riesgos que implican. Asimismo, la entidad sugiere analizar los sistemas con el fin de identificar usuarios malignos, o usuarios con demasiados derechos.

Fuente: DiarioTI

  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Life-cycle Management (PLM)
  • SAP Customer Relationship Management (CRM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP Enterprise Portal (EP)
  • SAP Process Integration (PI)
  • SAP Exchange Infrastructure (XI)
  • SAP Solution Manager (SolMan)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP Central Process Scheduling (CPS)
  • SAP NetWeaver Composition Environment (CE)
  • SAP NetWeaver Enterprise Search
  • SAP NetWeaver Identity Management (IdM)
  • SAP Governance, Risk & Control 5.x (GRC)
Las vulnerabilidades hacen posible para intrusos obtener acceso como administrador a los sistemas SAP vía Internet. Para ello, sólo se requiere la dirección IP del sistema SAP, y un navegador, como asimismo un código de ataque.
  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Life-cycle Management (PLM)
  • SAP Customer Relationship Management (CRM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP Enterprise Portal (EP)
  • SAP Process Integration (PI)
  • SAP Exchange Infrastructure (XI)
  • SAP Solution Manager (SolMan)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP Central Process Scheduling (CPS)
  • SAP NetWeaver Composition Environment (CE)
  • SAP NetWeaver Enterprise Search
  • SAP NetWeaver Identity Management (IdM)
  • SAP Governance, Risk & Control 5.x (GRC)
Las vulnerabilidades hacen posible para intrusos obtener acceso como administrador a los sistemas SAP vía Internet. Para ello, sólo se requiere la dirección IP del sistema SAP, y un navegador, como asimismo un código de ataque.
  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Life-cycle Management (PLM)
  • SAP Customer Relationship Management (CRM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP Enterprise Portal (EP)
  • SAP Process Integration (PI)
  • SAP Exchange Infrastructure (XI)
  • SAP Solution Manager (SolMan)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP Central Process Scheduling (CPS)
  • SAP NetWeaver Composition Environment (CE)
  • SAP NetWeaver Enterprise Search
  • SAP NetWeaver Identity Management (IdM)
  • SAP Governance, Risk & Control 5.x (GRC)
Las vulnerabilidades hacen posible para intrusos obtener acceso como administrador a los sistemas SAP vía Internet. Para ello, sólo se requiere la dirección IP del sistema SAP, y un navegador, como asimismo un código de ataque.
  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Life-cycle Management (PLM)
  • SAP Customer Relationship Management (CRM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP Enterprise Portal (EP)
  • SAP Process Integration (PI)
  • SAP Exchange Infrastructure (XI)
  • SAP Solution Manager (SolMan)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP Central Process Scheduling (CPS)
  • SAP NetWeaver Composition Environment (CE)
  • SAP NetWeaver Enterprise Search
  • SAP NetWeaver Identity Management (IdM)
  • SAP Governance, Risk & Control 5.x (GRC)
  •  
  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Life-cycle Management (PLM)
  • SAP Customer Relationship Management (CRM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP Enterprise Portal (EP)
  • SAP Process Integration (PI)
  • SAP Exchange Infrastructure (XI)
  • SAP Solution Manager (SolMan)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP Central Process Scheduling (CPS)
  • SAP NetWeaver Composition Environment (CE)
  • SAP NetWeaver Enterprise Search
  • SAP NetWeaver Identity Management (IdM)
  • SAP Governance, Risk & Control 5.x (GRC)
  •  
  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Life-cycle Management (PLM)
  • SAP Customer Relationship Management (CRM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP Enterprise Portal (EP)
  • SAP Process Integration (PI)
  • SAP Exchange Infrastructure (XI)
  • SAP Solution Manager (SolMan)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP Central Process Scheduling (CPS)
  • SAP NetWeaver Composition Environment (CE)
  • SAP NetWeaver Enterprise Search
  • SAP NetWeaver Identity Management (IdM)
  • SAP Governance, Risk & Control 5.x (GRC)
  •  
  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Life-cycle Management (PLM)
  • SAP Customer Relationship Management (CRM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP Enterprise Portal (EP)
  • SAP Process Integration (PI)
  • SAP Exchange Infrastructure (XI)
  • SAP Solution Manager (SolMan)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP Central Process Scheduling (CPS)
  • SAP NetWeaver Composition Environment (CE)
  • SAP NetWeaver Enterprise Search
  • SAP NetWeaver Identity Management (IdM)
  • SAP Governance, Risk & Control 5.x (GRC)
  •  
  • SAP Enterprise Resource Planning (ERP)
  • SAP Product Life-cycle Management (PLM)
  • SAP Customer Relationship Management (CRM)
  • SAP Supply Chain Management (SCM)
  • SAP Supplier Relationship Management (SRM)
  • SAP Enterprise Portal (EP)
  • SAP Process Integration (PI)
  • SAP Exchange Infrastructure (XI)
  • SAP Solution Manager (SolMan)
  • SAP NetWeaver Business Warehouse (BW)
  • SAP Business Intelligence (BI)
  • SAP NetWeaver Mobile Infrastructure (MI)
  • SAP NetWeaver Development Infrastructure (NWDI)
  • SAP Central Process Scheduling (CPS)
  • SAP NetWeaver Composition Environment (CE)
  • SAP NetWeaver Enterprise Search
  • SAP NetWeaver Identity Management (IdM)
  • SAP Governance, Risk & Control 5.x (GRC)
  •  

Fallo del protocolo SS7 permite saltar el cifrado de WhatsApp.

by Esteban on May 11, 2016 0 Comments

Tus conversaciones de WhatsApp podrían "estar en peligro”", pues un nuevo fallo detectado por la firma de seguridad rusa Positive Technologies permitiría saltarse el cifrado end-to-end de la aplicación. Una vulnerabilidad que también afectaría a otras utilidades como Telegram y que tiene que ver con el sistema de señalización por canal común Nro 7 (protocolo SS7) el responsable de que los comentarios enviados a través la app de mensajería pudieran ser interceptados.
 

Eso sí, resulta imprescindible aportar algunos detalles. Así y para que te hagas una idea, el también conocido como cifrado de extremo a extremo se encuentra basado en el protocolo SS7, precisamente el que tiene problemas. Este se emplea en el establecimiento de llamadas, la traducción de números, y el envío de SMS, entre otros; y desde 1975 (el año en que se desarrolló) no ha experimentado demasiados cambios.

 

 

Un método que, teóricamente, garantiza que todas las conversaciones lleven aparejada una clave privada y otra pública; la primera de las cuales sería la única que se compartiría entres los interlocutores; de tal manera que, si bien todos los comentarios pasarían por los servidores de la plataforma, lo harían cifrados (sin que ningún tercero pudiera conocerlos).

Sin embargo, no son pocos los expertos en seguridad que vienen alertando [PDF] desde hace tiempo de posibles agujeros en el protocolo SS7; unos errores que expondrían las conversaciones y permitirían espiarnos. Una realidad que acaban de demostrar los especialistas de la citada compañía rusa y que relatan paso a paso y con todo lujo de detalles a través de su página web.

De esta manera, Positive Technologies narra cómo, mediante un portátil Linux, se han conectado al nodo de la red que prestaba servicio al terminal y se han hecho con la conversación entre dos usuarios de WhatsApp. Y lo han logrado de la mano de un fallo que les ha dejado “robar” el SMS de autentificación y suplantar la identidad de los interlocutores. 

 

 
En todo caso, algunas filtraciones apuntan a que WhatsApp pretende sustituir este sistema por el registro a través de una cuenta de correo electrónico, asociar nuestra cuenta a Facebook y similares. Otra de las posibles novedades es la inclusión de un código QR para el añadido de nuevos contactos, aunque todavía se esta a la espera de confirmar estas informaciones. 

Fuente: Genbeta | Softpedia

272,3 millones de cuentas de Gmail, Hotmail y Yahoo gratis.

by Esteban on May 6, 2016 0 Comments

Según Reuters, cientos de millones de nombres de usuario y contraseñas de Mail.ru, Gmail, Hotmail y Yahoo. Alex Holden, fundador de Hold Security, quien el año pasado ya había realizado un descubrimiento similar de CyberVor, dio detalles de como se comercializan y regalan 272,3 millones de cuentas robadas en Rusia. 

El descubrimiento se produjo después de investigar a un joven delincuente ruso apodado "The Collector" que alardeaba en un foro de que había obtenido 1,17 billones de registros y estaba dispuesto a regalarlos. Luego de la depuración, las credenciales de correo de Yahoo suman 40 millones (15 por ciento); Hotmail suma 33 millones (12 por ciento) y 24 millones (9%) son cuentas de Gmail. Las 57millones de cuentas restantes son de Mail.ru, el proveedor más grande de correo de Rusia.

Según el informe, no sólo se encontraron cuentas de correo electrónico sino combinaciones de usuarios y contraseñas que parecen pertenecen a trabajadores de algunos de los más grandes bancos de Estados Unidos y empresas minoristas.

El delincuente estaba pidiendo sólo 50 rublos (menos de U$S1 ), pero Holden obtuvo la información gratis después de hacer comentarios online favorables sobre el "hacker". "Esta información es actual y esta persona ha demostrado que está dispuesto a regalar los datos a las personas que son agradables con él", dijo Holden.

Un portavoz de Mail.ru dijo que están comprobando cualquier combinación de nombres de usuario/contraseñas con usuarios activos y se advierte a los afectados.

 

Fuente: Reuters

www.estebanrojas.com