甲骨文 EBS 漏洞可讓黑客隨便“印鈔”
作者:星期五, 十一月 22, 20190

50% 的客戶未打補丁……

安全公司 Onapsis 稱,在甲骨文公司電子商務套件 (EBS: E-Business Suite) 中發現一系列關鍵漏洞,可致攻擊者獲得電子轉賬和打印銀行支票的控制權,且其行為無法檢測與追蹤。

該攻擊鏈利用了兩個主要漏洞,位于波士頓的網絡安全公司 Onapsis 將其命名為 Oracle PAYDAY(甲骨文發薪日)。Onapsis 稱,盡管甲骨文現已修復該漏洞,但估計該公司企業資源規劃 (ERP) 軟件客戶中半數都未部署補丁:意味著超過 1 萬家公司面臨風險。

這些客戶很多都只在內網運行該軟件,但 Onapsis 估測,至少 1,500 個 EBS 直接接入互聯網。若未打補丁,該漏洞可被未經身份驗證的攻擊者遠程利用,獲得此廣為使用的 ERP 系統的完整訪問權。

漏洞針對 EBS 產品中的一個 API——由甲骨文提供的瘦客戶端框架 (TCF) API,開發人員可以此建立基于服務器的應用;CVSS 漏洞評分高達 9.9 (最高危為 10 分)。

由于甲骨文的 EBS 包含 Payments(支付)模塊供公司企業從銀行賬戶實際轉賬或生成支票,惡意接管該模塊可對用戶造成極大損害。

甲骨文公司在 2018 年發布了解決此問題的第一個關鍵補丁更新 (CPU),后續補丁不斷放出以解決此漏洞的不同方面,包括 2019 年 4 月 CPU 中針對這兩個關鍵漏洞 (CVE-2019-2638, CVE-2019-2633) 的最新可用補丁。

盡管 ERP 包含支付模塊審計表,由于 SQL 協議允許攻擊者對 APPS 用戶執行任意查詢,攻擊者是有可能禁用并刪除這些審計日志表的。Onapsis 宣稱已成功創建概念驗證,可用特殊構造的查詢語句檢測并刪除審計表。

最后,創建一組數據庫觸發器將所有信息恢復到攻擊發生前的樣子,掩蓋掉所有攻擊痕跡。

Onapsis 博客文章:

https://www.onapsis.com/blog/oracle-payday-vulnerabilities

 


相關文章

寫一條評論

 

 

0條評論