Δευτέρα, 30 Νοεμβρίου, 03:30
Αρχική security Oracle E-Business Suite (EBS): Ανακαλύφθηκαν τρωτά σημεία

Oracle E-Business Suite (EBS): Ανακαλύφθηκαν τρωτά σημεία

Εάν οι επιχειρηματικές σας δραστηριότητες βασίζονται στο E-Business Suite (EBS) της Oracle, βεβαιωθείτε ότι έχετε κάνει update πρόσφατα και ότι τρέχετε την τελευταία διαθέσιμη έκδοση του software.

Oracle E-Business Suite (EBS)

Σε μια έκθεση που κυκλοφόρησε από την cybersecurity εταιρεία Onapsis, η εταιρεία αποκάλυψε σήμερα τεχνικές λεπτομέρειες για τρωτά σημεία που υπάρχουν στο E-Business Suite (EBS) της Oracle, μια ολοκληρωμένη ομάδα εφαρμογών που έχουν σχεδιαστεί για την αυτοματοποίηση των λειτουργιών CRM, ERP και SCM για οργανισμούς.

Οι δύο ευπάθειες, που χαρακτηρίστηκαν “BigDebIT” και βαθμολογήθηκαν με 9,9, επιδιορθώθηκαν από την Oracle σε μια κρίσιμη ενημέρωση κώδικα (CPU) που κυκλοφόρησε νωρίτερα αυτόν τον Ιανουάριο. Ωστόσο, η εταιρεία είπε ότι περίπου 50 τοις εκατό των πελατών της Oracle EBS δεν έχουν αναπτύξει μέχρι σήμερα τα patches.

Τα ελαττώματα ασφάλειας θα μπορούσαν να αξιοποιηθούν από hackers για να στοχεύσουν λογιστικά εργαλεία όπως το General Ledger σε μια προσπάθεια να κλέψουν ευαίσθητες πληροφορίες και να διαπράξουν οικονομικές απάτες.

Σύμφωνα με τους ερευνητές, “ένας μη εξουσιοδοτημένος hacker θα μπορούσε να εκτελέσει μια αυτοματοποιημένη εκμετάλλευση στην ενότητα General Ledger για να εξαγάγει στοιχεία από μια εταιρεία (όπως μετρητά) και να τροποποιήσει τους λογιστικούς πίνακες, χωρίς να αφήσει ίχνη.”

“Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα επέτρεπε σε έναν εισβολέα να κλέψει οικονομικά δεδομένα και να προκαλέσει καθυστερήσεις σε οποιαδήποτε οικονομική αναφορά που σχετίζεται με τις διαδικασίες συμμόρφωσης μιας εταιρείας“, πρόσθεσαν οι ερευνητές.

Αξίζει να σημειωθεί ότι τα διανύσματα επίθεσης BigDebIT «προσθέτουν» στις ήδη αναφερθείσες ευπάθειες PAYDAY στο EBS που ανακαλύφθηκαν από την Onapsis πριν από τρία χρόνια, με την Oracle να κυκλοφορεί μια σειρά ενημερώσεων μέχρι τον Απρίλιο του 2019.

Έχοντας εντοπιστεί ως CVE-2020-2586 και CVE-2020-2587, τα νέα ελαττώματα βρίσκονται στο Oracle Human Resources Management System (HRMS) σε ένα component που ονομάζεται Hierarchy Diagrammer, το οποίο επιτρέπει στους χρήστες να δημιουργούν οργανογράμματα που σχετίζονται με μια επιχείρηση. Όμως συνδιαστικά, μπορούν να αξιοποιηθούν ακόμη και αν οι πελάτες του EBS έχουν ενημερώσει τα συστήματα τους με τις ενημερώσεις που κυκλοφόρησαν τον Απρίλιο του 2019.

“Η διαφορά είναι ότι με αυτές τις ενημερώσεις κώδικα, επιβεβαιώνεται ότι ακόμη και τα συστήματα που είναι ενημερωμένα είναι ευάλωτα σε αυτές τις επιθέσεις, και ως εκ τούτου πρέπει να δοθεί προτεραιότητα στην εγκατάσταση της CPU του Ιανουαρίου”, δήλωσε η εταιρεία σε δήλωση που κυκλοφόρησε τον Ιανουάριο.

Μία συνέπεια αυτών των σφαλμάτων, αν δεν ενημερωθούν, είναι η πιθανότητα οικονομικής απάτης και κλοπής εμπιστευτικών πληροφοριών μιας εταιρείας.

Το Oracle General Ledger είναι ένα αυτοματοποιημένο λογισμικό χρηματοοικονομικής επεξεργασίας που λειτουργεί ως αποθετήριο λογιστικών πληροφοριών και προσφέρεται ως μέρος του E-Business Suite, της ολοκληρωμένης σειράς εφαρμογών της εταιρείας – που καλύπτει τον προγραμματισμό εταιρικών πόρων (ERP), τη διαχείριση της εφοδιαστικής αλυσίδας (SCM), και διαχείριση σχέσεων πελατών (CRM) – που οι χρήστες μπορούν να εφαρμόσουν στις δικές τους επιχειρήσεις.

Το General Ledger χρησιμοποιείται επίσης για τη δημιουργία εταιρικών οικονομικών εκθέσεων.

Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί κάποιο από τα ελαττώματα και να τροποποιήσει κρίσιμα στοιχεία στον ισολογισμό μιας εταιρείας.

Η είδηση μέχρι στιγμής δεν έχει επιβεβαιωθεί επίσημα από εταιρεία.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Samsung Galaxy smartwatch: Πώς να το συνδέσετε με το νέο σας κινητό

Η σύνδεση ενός Samsung Galaxy smartwatch με ένα νέο κινητό μπορεί να εξελιχθεί σε δύσκολή ή και ενοχλητική διαδικασία, καθώς δεν είναι...

Ποια ήταν τα πιο δημοφιλή και επικίνδυνα ransomware για το 2020;

Το 2020 ήταν μια πολύ καλή χρονιά για τις ransomware συμμορίες. Με την απότομη μετάβαση στην απομακρυσμένη...

Πώς να αποκτήσετε όλες τις παραγγελίες της Amazon την ίδια ημέρα

Εάν είστε από τους ανθρώπους που παραγγέλνουν πολλά πράγματα από την Amazon, όμως επιθυμείτε να λάβετε όλα τα πακέτα σας την ίδια...

Τρόπος εκκαθάρισης δεδομένων περιήγησης στο Safari με shortcut

Εάν χρησιμοποιείτε το Safari σε Mac και θέλετε να εκκαθαρίσετε γρήγορα το ιστορικό του προγράμματος περιήγησής σας χωρίς να ψάξετε όλο το...

COVID-19: Τετραπλασιάστηκαν οι DDoS επιθέσεις με στόχο το e-commerce

Οι DDoS επιθέσεις που στοχεύουν το e-commerce στην Ευρώπη έχουν τετραπλασιαστεί τους τελευταίους οκτώ μήνες. Σύμφωνα με έρευνα της Stormwall, μεταξύ Φεβρουαρίου...

2020: Το 1/5 των καταναλωτών έχει πέσει θύμα κλοπής στοιχείων ταυτότητας

Ένα στα πέντε άτομα έχει επηρεαστεί από απάτη που σχετίζεται με κλοπή στοιχείων ταυτότητας κατά το 2020....

Πώς να ρυθμίσετε τη διπλή SIM με eSIM σε συσκευή iPhone;

Εάν διαθέτετε μία συσκευή iPhone XR, XS, iPhone XS Max ή μεταγενέστερη έκδοση, έχετε τη δυνατότητα eSIM. Αυτό σημαίνει ότι υπάρχει μόνο...

Πώς να επιλέξετε ποιες επεκτάσεις θα εμφανίζονται στο toolbar του Edge

Οι επεκτάσεις στον Microsoft Edge μπορούν να κάνουν το πρόγραμμα περιήγησής σας πιο χρήσιμο. Αλλά μερικές φορές μπορεί να μην σας αρέσει...

COVID-19 εμβόλια: Η Βόρεια Κορέα χακάρει φαρμακευτικές

Η Νότια Κορέα, για την ακρίβεια η υπηρεσία πληροφοριών της, απέτρεψε τις προσπάθειες της Βόρειας Κορέας να εισβάλει σε εταιρείες της Νότιας...

Drupal: Ενημερώσεις ασφαλείας για την αντιμετώπιση exploits

Οι προγραμματιστές του συστήματος διαχείρισης περιεχομένου Drupal (CMS) κυκλοφόρησαν έκτακτες ενημερώσεις ασφαλείας λόγω της διαθεσιμότητας κάποιων exploits, που μπορούν να θέσουν σε...