Критичные уязвимости в бизнес-приложении Oracle обнаружены исследователями Digital Security

25.01.2016

Исследователи компании Digital Security, специализирующейся на анализе защищенности ИТ-систем, обнаружили две критичные уязвимости в E-Business Suite, ключевом ПО для бизнеса Oracle, за что были удостоены официальной благодарности вендора. Сотрудники компании с 2008 года регулярно находят различные проблемы безопасности в продуктах известного производителя, что более десятка раз отмечалось Oracle в квартальных бюллетенях.

Обе указанные уязвимости относятся к типу XXE. С помощью специально сформированных запросов с XML они позволяют читать произвольные файлы с сервера EBS. Кроме того, они дают возможность выполнять SSRF-атаки, а также DOS-атаки. Эти уязвимости сложно проэксплуатировать анонимно.

Обнаруженные сотрудниками Digital Security проблемы безопасности имеют большое значение, поскольку они влияют на такие критически важные бизнес-приложения, базирующиеся на платформе E-Business Suite, как Value Chain Execution Suite, Value Chain Planning, Advanced Procurement, Supply Chain Management, Project Portfolio Management, Human Capital Management, Financial Management, Service Management, Customer Relationship Management и прочее. Эти решения, в свою очередь, хранят и обрабатывают основные корпоративные данные (HR- и финансовая информация, списки поставщиков и клиентов, и т.д.). Таким образом, в случае успешной реализации атаки, злоумышленник сможет подделать данные о количестве материальных ресурсов, изменить цены, присвоить средства и внести изменения в финансовые отчеты.

В общем, вендор закрыл 78 уязвимостей в ПО Oracle EBS. Поскольку данный компонент управляет широким спектром бизнес-процессов и хранит ключевые данные, успешная атака против Oracle EBS позволит злоумышленнику похитить различную критичную бизнес-информацию (в зависимости от модулей, установленных в организации).

Данные о количестве недавно закрытых уязвимостей получены из ежеквартального обновления безопасности (CPU) Oracle за январь 2016 года: http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html.  Эта сводка закрывает в общей сложности 248 уязвимостей. Это наибольшее количество исправлений в рамках одного обновления для Oracle, в частности, и рекордное число уязвимостей, закрытых любым другим вендором за одно обновление, в общем.

Digital Security – одна из ведущих российских консалтинговых компаний в области информационной безопасности. Digital Security предоставляет широкий спектр услуг в области оценки защищенности, включая комплексный аудит ИБ, тестирование на проникновение, аудит защищенности бизнес-приложений (SAP, Oracle, веб-приложения, системы ДБО), аудит защищенности АСУ ТП и SCADA. С 2003 года клиентамиDigital Security стали более 500 компаний на всей территории России и 25 стран мира, включая США, Германию, Нидерланды, Австралию и ЮАР. Digital Security является официальным сервис-партнером SAP AG, международным лидером по поиску и анализу уязвимостей в продуктах SAP, а также разработчиком ЕRРSсаn Security Monitoring Suite – инновационного продукта для комплексной оценки защищенности и проверки соответствия стандартам для платформы SAP. Подробнее о компании и услугах: http://www.dsec.ru/

Контакт для прессы:

Юлия Кольдичева,

Директор по связям с общественностью,

Digital Security

+79636038733