Alexander Polyakov foi forçado a retirar uma palestra detalhando vulnerabilidades perigosas no produto de gerenciamento de dispositivo móvel da SAP Afaria programado para ser dado no BlackHat Asia Pacific esta semana.
O hacker SAP prolífico e diretor de tecnologia da ERPScan diz que sua palestra foi sabotado após SAP não conseguiu corrigir as vulnerabilidades, após ser informado cerca de 12 meses atrás.
Polyakov não revelou detalhes específicos das falhas, já que ele está agindo sob as regras de divulgação responsável, mas diz que coloca as empresas em risco.
"As vulnerabilidades são muito perigoso e não é fácil de corrigir, 'Polyakov disse ao The Register.
"Nós não podemos entregar a conversa, porque eles (SAP) não foram capazes de corrigir alguns problemas."
Afaria é usado na Austrália pelos gostos de Powercor e Hewlett Packard, de acordo com a SAP.
Polyakov diz que as falhas se referem a um nível inesperadamente privilegiada de atacantes de controle pode atingir em dispositivos móveis sob gestão, em vez de roubo de dados.
O hacker teria também revelou os esforços de aplicação de patches atrasados para uma falha perigosa na aplicação eletrônicos de registros médicos Unwired da SAP que até a semana passada poderia conceder atacantes acesso a registros médicos sensíveis.
Ele descobriu uma segunda falha no aplicativo que significava atacantes poderiam forçá-lo a se conectar a servidores maliciosos.
Demorou SAP seis meses para corrigir a primeira falha, mas quase dois anos para consertar o segundo depois que reconheceu pela primeira vez em abril de 2013, apesar Polyakov considerar as questões de uma correção de "fácil".
"Os atacantes poderiam potencialmente acesso X-raios e imagens médicas, exames laboratoriais, e todos os tipos de dados de saúde que poderiam ser armazenadas", diz Polyakov.
Ele diz que os atacantes poderiam fazer upload de registros falsos de pacientes para servidores médicos.
Ela continha uma vulnerabilidade de injeção SQL local permitindo que atacantes para acessar banco de dados do aplicativo, se eles são capazes de chegar a equipe para instalar aplicativos maliciosos em seus telefones Android.
Polyakov também planejado para discutir uma terceira falha fixo desde que-ele encontrou recentemente na plataforma de gerenciamento de dispositivo móvel da SAP.
As vulnerabilidades de estouro de buffer exposto empresas a ataques distribuídos de negação de serviço. Polyakov diz que poderia ser mais prejudicial se os agressores alvo fábricas ou executivos de se conectar a sistemas de missão crítica. ®
Nenhum comentário:
Postar um comentário