Blog

Publicado el

Replica Spam on Poorly Maintained ASP Site

http://feedproxy.google.com/~r/sucuri/blog/~3/4iTJIb-mFuo/replica-spam-on-poorly-maintained-asp-sites.html Although the majority of sites we work on are powered by PHP, we still have clients whose sites use other programming languages. The other day we cleaned an ASP site where we found a web.config file (the ASP.NET version of .htaccess) with these instructions: […] More info: http://feedproxy.google.com/~r/sucuri/blog/~3/4iTJIb-mFuo/replica-spam-on-poorly-maintained-asp-sites.html
Publicado el

Replica Spam on Poorly Maintained ASP Site

http://feedproxy.google.com/~r/sucuri/blog/~3/4iTJIb-mFuo/replica-spam-on-poorly-maintained-asp-sites.html Although the majority of sites we work on are powered by PHP, we still have clients whose sites use other programming languages. The other day we cleaned an ASP site where we found a web.config file (the ASP.NET version of .htaccess) with these instructions: […] More info: http://feedproxy.google.com/~r/sucuri/blog/~3/4iTJIb-mFuo/replica-spam-on-poorly-maintained-asp-sites.html
Publicado el

Persistent XSS via CSRF in WP Meta and Date Remover

http://feedproxy.google.com/~r/sucuri/blog/~3/nGpaZYx5BGU/persistent-xss-via-csrf-in-wp-meta-and-date-remover.html During regular research audits for our Sucuri Firewall (WAF), we discovered a Cross Site Request Forgery (CSRF) leading to a persistent Cross Site Scripting vulnerability affecting 70,000+ users of the WP Meta and Date Remover plugin for WordPress. Disclosure / Response Timeline: April 30 – Initial contact attempt May 07 – Patch is live […] More info: http://feedproxy.google.com/~r/sucuri/blog/~3/nGpaZYx5BGU/persistent-xss-via-csrf-in-wp-meta-and-date-remover.html
Publicado el

Persistent XSS via CSRF in WP Meta and Date Remover

http://feedproxy.google.com/~r/sucuri/blog/~3/nGpaZYx5BGU/persistent-xss-via-csrf-in-wp-meta-and-date-remover.html During regular research audits for our Sucuri Firewall (WAF), we discovered a Cross Site Request Forgery (CSRF) leading to a persistent Cross Site Scripting vulnerability affecting 70,000+ users of the WP Meta and Date Remover plugin for WordPress. Disclosure / Response Timeline: April 30 – Initial contact attempt May 07 – Patch is live […] More info: http://feedproxy.google.com/~r/sucuri/blog/~3/nGpaZYx5BGU/persistent-xss-via-csrf-in-wp-meta-and-date-remover.html
Publicado el

Intel microprocessors vulnerability CVE-2019-0162

Intel microprocessors vulnerability CVE-2019-0162 Security Advisory Security Advisory Description Memory access in virtual memory mapping for some microprocessors may allow an authenticated user ... More info: https://support.f5.com/csp/article/K26710120
Publicado el

10kBlaze, Exploits que están afectando a miles de empresas que utilizan aplicaciones SAP

  • Se ha detectado una gran actividad de ataques dirigidos a las empresas que utilizan SAP como sistema de gestión. A partir de una herramienta 10kblaze (pysap) que aprovecha errores de configuración conocidos de hace más de 10 años.  

A raíz de la actualización de la herramienta pysap, las charlas de la conferencia OPCDE de Mathieu Geli y Dmitry Chastuhin, y de la publicación de las pruebas de concepto (PoC) del exploit dirigido a aplicaciones SAP ha aumentado exponencialmente los ataques a dichos sistemas.

Este ataque denominado 10kblaze no aprovecha ninguna vulnerabilidad conocida en el código de SAP, sino que su efecto se causa a partir de un problema de configuración de las ACL (Listas de control de acceso) se los servidores Message y Gateway, ya conocido desde 2005.

Se estima que 50.000 sistemas son vulnerables a esta explotación a partir de dichas configuraciones erróneas. Los exploits pueden darle al atacante un compromiso total de la plataforma, con la opción de alterar, extraer o modificar información confidencial de aplicaciones comerciales como SAP Business Suite, SAP ERP, SAP CRM, SAP S/4HANA, SAP Solution Manager, SAP GRC Process and Access Control, SAP Process Integration/ Exchange Infrastructure (PI/XI), SAP SCM, y SAP SRM, entre otros.

Lo más preocupante es que un atacante tan solo necesita acceso a la IP y el puerto donde está corriendo el servicio y sería posible ejecutar código remoto en el servidor si este es vulnerable.

El problema con las ACL se produce porque SAP deshabilita esta opción en NetWeaver por defecto para permitir que las empresas adapten su producto a las necesidades de sus clientes.

Para mitigar el error de configuración es posible consultar las SAP Security Notes 821875 (2005), 1408081 (2009) y 1421005 (2010). En ellas se detallan los pasos necesarios para configurar las ACL en los servidores SAP Gateway y Message (es necesario iniciar sesión).

Más información:

Translate »