CONOCIMIENTO pertenece al mundo
Un software de SAP PricewaterhouseCoopers, el evaluador de controles automatizados (ACE), se ve afectada por un fallo de seguridad crítico que podría ser explotada por los hackers.
Un software desarrollado por PricewaterhouseCoopers para sistemas SAP, el evaluador de controles automatizados (ACE), se ve afectada por un fallo de seguridad crítico.
La vulnerabilidad fue descubierta por la empresa de seguridad ESNC que analizó la herramienta.La controles automatizados Evaluador (ACE) es una herramienta de SAP de diagnóstico que extrae datos de seguridad y configuración de sistemas SAP con el fin de analizarlos con el fin de descubrir puertas traseras (como la configuración, personalización y configuración de seguridad) y la mala configuración que podría ser aprovechada por atacantes para cometer fraude."
"El propósito de esta herramienta es analizar la configuración de seguridad de SAP e identificar un acceso privilegiado y la segregación potencial de los problemas de derechos de forma precisa y eficiente"; y - "Los archivos ABAP introducen cambios en los sistemas de producción y ajustes".afirma el sitio web de PricewaterhouseCoopers .
Los investigadores de ESNC han descubierto que el software PwC ACE se ve afectado por una falla de seguridad explotable de forma remota que puede ser explotada para inyectar y ejecutar código ABAP malicioso en el sistema SAP remoto. El impacto potencial sobre las empresas que utiliza la herramienta es crítica, la vulnerabilidad podría permitir a un control de la gestión del cambio de derivación atacante, la segregación de derivación de las restricciones de servicio, y por supuesto, manipular documentos contables y financieros que exponen los resultados del negocio a las actividades fraudulentas.
"Esta vulnerabilidad de seguridad puede permitir a un atacante manipular documentos contables y los resultados financieros, los controles de gestión del cambio de derivación, y la segregación de derivación de las restricciones de las tasas," afirma el asesor publicado por ESNC.
"Esta actividad puede dar lugar a fraude, robo o manipulación de los datos sensibles, incluyendo información de identificación personal, como datos maestros de clientes e información de recursos humanos nómina, las operaciones de pago no autorizadas y la transferencia de dinero." "Los ataques pueden ser ejecutados desde la red local a través de sapgui, o desde la Internet pública a través de los servicios HTTP / HTTPS ICF como WebGUI y el informe, si los sistemas son accesibles ".
La vulnerabilidad afecta a la versión 8.10.304, y potencialmente también versiones anteriores también podrían verse afectadas.
Una portavoz de PricewaterhouseCoopers trató de quitar hierro al asunto explicando que la compañía no tiene conocimiento de ningún problema con su software.
"El código de referencia en este boletín no se incluye en la versión actual del software que está disponible para todos nuestros clientes", una portavoz de PwC dijo a The Reg . "El boletín describe un escenario hipotético y poco probable - no tenemos conocimiento de cualquier situación en la que se ha materializado."
El Reg puso de relieve las dificultades que enfrentan los ESNC en informar del problema a PricewaterhouseCoopers. La falla se informó en agosto, pero PwC inicialmente no proporcionó una respuesta, a continuación, sus abogados enviaron un correo electrónico a los investigadores de seguridad a "desistir" su investigación.
Por debajo de la línea de tiempo de la vulnerabilidad compartida por ESNC
- 08/19/2016 PwC contactado
- 22/08/2016 Reunión con PwC, les informó sobre el impacto y los detalles de la vulnerabilidad y de una fuente responsable
- 09/05/2016 Cuando se le preguntó acerca de las actualizaciones de PwC y si está disponible un parche
- 13/09/2016 Recibió una carta de cese y desista de abogados PwC
- 18/11/2016 informado de que hayan pasado 90 días y ESNC está planeando lanzar Conjunto contó con una imagen de aviso de seguridad; pedido ningún detalle PwC puede compartir sobre este asunto, incluido el riesgo, las versiones afectadas, cómo obtener un parche
- 22/11/2016 recibió otra carta de cese y desista de abogados PwC
- La divulgación pública 12/07/2016
Fuente: http: //securityaffairs.co
CONOCIMIENTO pertenece al mundo
No hay comentarios:
Publicar un comentario