Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Вендор закрыл опасные уязвимости еще в апреле, однако 50% пользователей так и не установили важное обновление.
Почти половина пользователей набора бизнес-приложений Oracle E-Business Suite все еще не установили патчи для уязвимостей PayDay, закрытых вендором в апреле 2019 года. Эксплуатация этих недостатков позволяет злоумышленнику вывести деньги с расчетного счета компании или сформировать банковские чеки для получения наличных.
Специалисты компании Onapsis, отслеживающей проблемы безопасности в решениях Oracle, выяснили, что примерно 21 тыс. установленных экземпляров E-Business Suite (EBS) уязвимы для атак с использованием CVE-2019-2638 и CVE-2019-2633, получивших общее название PayDay. Оба бага имеют критический уровень угрозы и оценены специалистами в 9,9 балла CVSS. Патчи, устраняющие эти ошибки, вошли в апрельский комплект обновлений безопасности производителя, однако не все пользователи торопятся их установить.
Эксперты Onapsis продемонстрировали два сценария атаки через эти баги. В первом случае неавторизованный злоумышленник получает возможность внести изменения в утвержденные платежные поручения и выполнить перевод средств на свой счет. Это действие не отражается в журнале событий, поскольку мошенническая операция выполняется в обход системы разделения прав и контроля доступа.
Второй тип атаки нацелен на создание и печать банковских чеков при помощи подсистемы Oracle EBS check. Наличие проблемы также позволяет преступнику скрыть следы своей деятельности, отредактировав журнал аудита программы. Сформированные чеки он сможет использовать для получения наличных в банке.
По мнению аналитиков, эксплуатация этих уязвимостей может привести не только к хищению денег, но также к перехвату управления EBS-системой. Кроме того, в ходе атаки могут быть скомпрометированы персональные данные, что повлечет штрафные санкции в рамках европейского акта GDPR и американского закона Сарбейнза — Оксли о прозрачности деятельности бизнес-структур.
Уязвимости PayDay — не единственные критические баги, выявленные в E-Business Suite в этом году. Июльский комплект патчей Oracle исправил две такие ошибки: в модуле Oracle Field Service и подсистеме EBS Payments. Последняя отвечает за обработку финансовых транзакций, поэтому обнаруженные проблемы могли привести к компрометации реквизитов банковских карт, хранящихся в базе данных приложения.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |