Уязвимости Oracle PeopleSoft – теперь и в Париже

10.06.2015

Алексей Тюрин, директор департамента аудита ИБ компании Digital Security, специализирующейся на исследованиях в области ИБ и анализе защищенности систем, вновь выступит с нашумевшим докладом, посвященным безопасности приложений Oracle PeopleSoft. На этот раз – в Париже, на конференции Hack In Paris, которая пройдет с 15 по 19 июня 2015 года.

В докладе «Приложения Oracle PeopleSoft под прицелом» будут представлены результаты недавнего исследования эксперта Digital Security. Как известно, такие бизнес-системы Oracle PeopleSoft, как HRMS, FMS, SCM, CRM широко распространены в мире (в частности, их использует около 50 % компаний из списка Fortune 100). Более того, часть этих решений доступна из Интернет, что значительно расширяет возможности для проникновения злоумышленников извне. Тем не менее, до сих пор безопасности Oracle PeopleSoft не уделяется достаточно внимания. В своем докладе эксперт Digital Security подробно опишет слабые места данных бизнес-систем, а также покажет возможности реализации атак в отношении PeopleSoft.

Исследователь Digital Security обнаружил множество угроз в приложениях Oracle PeopleSoft со стороны всех типов злоумышленников: инсайдеров, разработчиков и даже хакеров из Интернета. По количеству и опасности уязвимостей проблема сопоставима с совокупными последствиями трех наиболее критичных брешей в безопасности, обнаруженных в приложениях SAP за последние пять лет, а ведь большинство уязвимостей годами остаются неисправленными!

Положение Oracle PeopleSoft, по мнению Алексея Тюрина, даже хуже, чем было у SAP пять лет назад. На рынке безопасности SAP сейчас возросла осведомленность (более сотни презентаций на конференциях по ИБ за пять лет), появились специалисты, продукты и реальные примеры атак, включая недавний взлом американской государственной компании USIS. С точки зрения возможных атак ситуация с безопасностью Oracle PeopleSoft в пять раз хуже, судя только по количеству публично подтвержденных инцидентов.

С 2010 года в СМИ был опубликован ряд новостей об утечках данных из-за уязвимостей в Oracle PeopleSoft. Например, в марте 2013 г. Государственный университет города Салем, штат Массачусетс, предупредил 25000 студентов и сотрудников о том, что их номера социального страхования (SSN), возможно, были скомпрометированы. Если эта тенденция сохранится, следует в скором времени ожидать еще полдюжины крупных взломов в образовательных учреждениях.