SOS :: Security Operation Space
19 сентября, суббота, 00:00
|
Hot News:

Более 20 тысяч владельцев Oracle EBS под угрозой PayDay

21 ноября 2019 г., четверг, 16:32

Вендор закрыл опасные уязвимости еще в апреле, однако 50% пользователей так и не установили важное обновление.

Почти половина пользователей набора бизнес-приложений Oracle E-Business Suite все еще не установили патчи для уязвимостей PayDay, закрытых вендором в апреле 2019 года. Эксплуатация этих недостатков позволяет злоумышленнику вывести деньги с расчетного счета компании или сформировать банковские чеки для получения наличных.

Чем грозят уязвимости PayDay в Oracle EBS

Специалисты компании Onapsis, отслеживающей проблемы безопасности в решениях Oracle, выяснили, что примерно 21 тыс. установленных экземпляров E-Business Suite (EBS) уязвимы для атак с использованием CVE-2019-2638 и CVE-2019-2633, получивших общее название PayDay. Оба бага имеют критический уровень угрозы и оценены специалистами в 9,9 балла CVSS. Патчи, устраняющие эти ошибки, вошли в апрельский комплект обновлений безопасности производителя, однако не все пользователи торопятся их установить.

Эксперты Onapsis продемонстрировали два сценария атаки через эти баги. В первом случае неавторизованный злоумышленник получает возможность внести изменения в утвержденные платежные поручения и выполнить перевод средств на свой счет. Это действие не отражается в журнале событий, поскольку мошенническая операция выполняется в обход системы разделения прав и контроля доступа.

Второй тип атаки нацелен на создание и печать банковских чеков при помощи подсистемы Oracle EBS check. Наличие проблемы также позволяет преступнику скрыть следы своей деятельности, отредактировав журнал аудита программы. Сформированные чеки он сможет использовать для получения наличных в банке.

По мнению аналитиков, эксплуатация этих уязвимостей может привести не только к хищению денег, но также к перехвату управления EBS-системой. Кроме того, в ходе атаки могут быть скомпрометированы персональные данные, что повлечет штрафные санкции в рамках европейского акта GDPR и американского закона Сарбейнза — Оксли о прозрачности деятельности бизнес-структур.

Уязвимости PayDay — не единственные критические баги, выявленные в E-Business Suite в этом году. Июльский комплект патчей Oracle исправил две такие ошибки: в модуле Oracle Field Service и подсистеме EBS Payments. Последняя отвечает за обработку финансовых транзакций, поэтому обнаруженные проблемы могли привести к компрометации реквизитов банковских карт, хранящихся в базе данных приложения.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
13:15
11:15
11:15
09:15
07:15
07:15
06:15
16:15
13:15
12:15
10:15
09:15
06:15
13:15
11:15
09:15
07:15
06:15


© 2013—2020 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.372
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.