1

SAP repara fallas en base de datos ASE

SAP reparó un falla que podría permitir un ataque cibernético. Dicho ataque permitiría que se pudiese tomar el control completo sobre una base de datos, de acuerdo con el proveedor de seguridad de Trustwave. 

La falla (CVE-2.014-6.284) afecta el Adaptive Server Enterprise de SAP (ASE ), una base de datos relacional para sistemas Unix, Linux y Windows, diseñado para grandes volúmenes de transacciones de datos con mucha información.

Algunas versiones son vulnerables como las  12.5, 15, 15.5, 15.7 y 16. de Trustwave  fueron dadas a conocer por Martin Rakhmanov, investigador senior de seguridad, quien encontró un error en el mecanismo de desafío y respuesta utilizado para acceder a ASE. 

La cuenta no tiene privilegios, lo que permitió el acceso a la misma, pero TrustWave dijo que otros defectos sí hallados permiten que los privilegios se intensifiquen y presionen a la base de datos. 

“En combinación con este tipo de vulnerabilidades de elevación de privilegios, se permite la adquisición completa del servidor de base de datos”, dijo el asesor de Trustwave. 

Trustwave ha publicado el código de prueba en GitHub . SAP también ha publicado una nota de seguridad , pero se requieren ciertos datos para iniciar la sesión y poder verla.

El Holding TrustWave, con sede en Chicago se especializa en servicios de seguridad gestionados, una opción cada vez más popular para las empresas. Como la seguridad informática se ha convertido cada vez más en un servicio muy complicado, pero también muy solicitado, han aparecido en el mercado una serie de empresas pequeñas o desconocidas, que gestionan servicios de seguridad; a menudo son más baratas, pero no tienen capacidad para impedir a las empresas respuestas a las violaciones de seguridad. 

Mario Augusto Beroes Ríos

Periodista graduado en la UCV en la mención Audiovisual.