Российские специалисты нашли в ПО Oracle опасные уязвимости

04.06.2015

Оригинал: http://digital.report/rossiyskie-spetsialistyi-nashli-v-po-oracle-opasnyie-uyazvimosti/
На вопросы Digital Report отвечает Алексей Тюрин,
к. т. н., директор департамента аудита ИБ Digital Security

Эксперты российской компании Digital Security, специализирующейся на сетевой безопасности, обнаружили «дыры» в ERR-системе программного обеспечения Oracle.

На данный момент известно, что некоторые компоненты Oracle PeopleSoft, обладают критическими уязвимостями, позволяющими злоумышленникам не только красть персональные данные компаний, но и проводить кибердиверсии на предприятиях.

Отметим, что данное ПО используют более 7 тысяч компаний по всему миру, при этом порядка 50 фирм находятся в списке Fortune 100.

Digital Report пообщался с директором департамента аудита ИБ Digital Security Алексеем Тюриным, и узнал, какие опасности грозят пользователям PeopleSoft.

DR: Когда впервые стало известно о «дырах» в безопасности данного ПО Oracle?

— Данная уязвимость была представлена на конференции Hack in the Box 28 мая 2015 года в Амстердаме.

DR: Можно более подробно рассказать об опасности данных уязвимостей?

-Oracle PeopleSoft — это целый набор различных приложений, включающих модули HR, CRM,финансы и т.д., т.е. все основные бизнес-приложения. Любое из них по умолчанию поддерживает Single Sign-On технологию.

Пользователь может один раз ввести логин и пароль и система вернёт ему специальный идентификатор пользователя (cookie) — PS_TOKEN. Далее, с ним пользователь автоматически может быть аутентифицирован в других приложениях PeopleSoft.

При этом, идентификатор содержит информацию об имени пользователя, и если подменить в нем имя, то система нас аутентифицирует в таком случае под другим именем пользователя. Чтобы этого не произошло, в идентификаторе используется подпись — значение SHA1-хеш функции от всех значений в cookie, плюс специальный пароль (node password) самой системы (приложения PeopleSoft). Получив PS_TOKEN, атакующий может на своём хосте провести атаку на перебор всех возможных паролей этого node password.

Так, примерно за 12 часов возможно перебрать все буквенно-циферные пароли в 8 символов. Учитывая то, что этот пароль очень редко меняется и что администраторы часто ставят словарные/простые пароли (p@ssword), шанс на успешный перебор очень велик.

Таким образом, подобрав по PS_TOKEN cookie данный пароль, злоумышленник сможет создать новую PS_TOKEN для максимально привилегированного пользователя и войти в систему под ним.

К слову, в Интернете немало приложений PeopleSoft, и на очень многих из них PS_TOKEN cookie выставляется всем, даже без аутентификации. Таким образом, существует возможность проникнуть в очень многие системы. Фактические последствия от таких атак зависят от конкретной системы и целей атакующего. Можно вывести PeopleSoft из строя (остановка бизнес- процессов), можно украсть персональную информацию пользователей (для HR-систем), можно, наконец, похищать деньги — проводить различные финансовые операции, в том числе, менять информацию (например, о счете, на который переводится зарплата) и т.д.

DR: Был ли отправлен запрос в Oracle с уведомлением о ней?

— Да, Oracle в курсе данной проблемы. Но фактически это архитектурная уязвимость, и исправить ее полностью нет возможности. Единственное решение — правильная конфигурация системы (например, установка очень сложного пароля или использование сертификатов).

DR: Есть ли у вас примерная статистика пользователей данного ПО среди российских компаний?

— Две трети клиентов Oracle PeopleSoft — американские компании, причем достаточно крупные. Особенно популярна HR-система. Увы, информация по российскому рынку отсутствует, но я могу отметить, что в нашей стране данную систему возможно встретить только в очень крупных иностранных компаниях.

DR: Как обстоят дела с безопасностью у подобных программ от других разработчиков?

— До этого мы как раз занимались изучением безопасности продуктов компании SAP. И находили множество различных уязвимостей, возможных атак и т.д. И пару лет назад мы решили взглянуть на другие ERP-системы и сравнить. Oracle PeopleSoft была одной из них. И находка с PS_TOKEN — лишь одна из множества проблем, найденных нами (но, конечно, одна из самых критичных).

Крупные бизнес-системы (типа ERP) содержат множество уязвимостей (многие вендоры не обращают особого внимания на безопасность). Кроме того, эти решения такие нетипичные и сложные, что многие администраторы не умеют/не знают, их безопасно настраивать.

В итоге, самые критичные бизнес-системы компаний оказывают самым уязвимым их звеном. В заключении стоит отметить, что это не первая уязвимость, выявленная специалистами Digital Security в программном обеспечении, использующемся в крупных компаниях. Так, за период с 2011 по 2013 год, эксперты нашли несколько «дыр» в продуктах SAP, при этом был выявлен и троян, имевший отношение к ERP-системе этого ПО.

Кроме того, в ноябре прошлого года, Digital Security сообщила о ряде уязвимостей в антивирусных продуктах «Лаборатории Касперского», Avast Software и McAffe.