Εάν οι επιχειρηματικές σας δραστηριότητες βασίζονται στο E-Business Suite (EBS) της Oracle, βεβαιωθείτε ότι έχετε κάνει update πρόσφατα και ότι τρέχετε την τελευταία διαθέσιμη έκδοση του software.
Σε μια έκθεση που κυκλοφόρησε από την cybersecurity εταιρεία Onapsis, η εταιρεία αποκάλυψε σήμερα τεχνικές λεπτομέρειες για τρωτά σημεία που υπάρχουν στο E-Business Suite (EBS) της Oracle, μια ολοκληρωμένη ομάδα εφαρμογών που έχουν σχεδιαστεί για την αυτοματοποίηση των λειτουργιών CRM, ERP και SCM για οργανισμούς.
Οι δύο ευπάθειες, που χαρακτηρίστηκαν “BigDebIT” και βαθμολογήθηκαν με 9,9, επιδιορθώθηκαν από την Oracle σε μια κρίσιμη ενημέρωση κώδικα (CPU) που κυκλοφόρησε νωρίτερα αυτόν τον Ιανουάριο. Ωστόσο, η εταιρεία είπε ότι περίπου 50 τοις εκατό των πελατών της Oracle EBS δεν έχουν αναπτύξει μέχρι σήμερα τα patches.
Τα ελαττώματα ασφάλειας θα μπορούσαν να αξιοποιηθούν από hackers για να στοχεύσουν λογιστικά εργαλεία όπως το General Ledger σε μια προσπάθεια να κλέψουν ευαίσθητες πληροφορίες και να διαπράξουν οικονομικές απάτες.
Σύμφωνα με τους ερευνητές, “ένας μη εξουσιοδοτημένος hacker θα μπορούσε να εκτελέσει μια αυτοματοποιημένη εκμετάλλευση στην ενότητα General Ledger για να εξαγάγει στοιχεία από μια εταιρεία (όπως μετρητά) και να τροποποιήσει τους λογιστικούς πίνακες, χωρίς να αφήσει ίχνη.”
“Η επιτυχής εκμετάλλευση αυτής της ευπάθειας θα επέτρεπε σε έναν εισβολέα να κλέψει οικονομικά δεδομένα και να προκαλέσει καθυστερήσεις σε οποιαδήποτε οικονομική αναφορά που σχετίζεται με τις διαδικασίες συμμόρφωσης μιας εταιρείας“, πρόσθεσαν οι ερευνητές.
Αξίζει να σημειωθεί ότι τα διανύσματα επίθεσης BigDebIT «προσθέτουν» στις ήδη αναφερθείσες ευπάθειες PAYDAY στο EBS που ανακαλύφθηκαν από την Onapsis πριν από τρία χρόνια, με την Oracle να κυκλοφορεί μια σειρά ενημερώσεων μέχρι τον Απρίλιο του 2019.
Έχοντας εντοπιστεί ως CVE-2020-2586 και CVE-2020-2587, τα νέα ελαττώματα βρίσκονται στο Oracle Human Resources Management System (HRMS) σε ένα component που ονομάζεται Hierarchy Diagrammer, το οποίο επιτρέπει στους χρήστες να δημιουργούν οργανογράμματα που σχετίζονται με μια επιχείρηση. Όμως συνδιαστικά, μπορούν να αξιοποιηθούν ακόμη και αν οι πελάτες του EBS έχουν ενημερώσει τα συστήματα τους με τις ενημερώσεις που κυκλοφόρησαν τον Απρίλιο του 2019.
“Η διαφορά είναι ότι με αυτές τις ενημερώσεις κώδικα, επιβεβαιώνεται ότι ακόμη και τα συστήματα που είναι ενημερωμένα είναι ευάλωτα σε αυτές τις επιθέσεις, και ως εκ τούτου πρέπει να δοθεί προτεραιότητα στην εγκατάσταση της CPU του Ιανουαρίου”, δήλωσε η εταιρεία σε δήλωση που κυκλοφόρησε τον Ιανουάριο.
Μία συνέπεια αυτών των σφαλμάτων, αν δεν ενημερωθούν, είναι η πιθανότητα οικονομικής απάτης και κλοπής εμπιστευτικών πληροφοριών μιας εταιρείας.
Το Oracle General Ledger είναι ένα αυτοματοποιημένο λογισμικό χρηματοοικονομικής επεξεργασίας που λειτουργεί ως αποθετήριο λογιστικών πληροφοριών και προσφέρεται ως μέρος του E-Business Suite, της ολοκληρωμένης σειράς εφαρμογών της εταιρείας – που καλύπτει τον προγραμματισμό εταιρικών πόρων (ERP), τη διαχείριση της εφοδιαστικής αλυσίδας (SCM), και διαχείριση σχέσεων πελατών (CRM) – που οι χρήστες μπορούν να εφαρμόσουν στις δικές τους επιχειρήσεις.
Το General Ledger χρησιμοποιείται επίσης για τη δημιουργία εταιρικών οικονομικών εκθέσεων.
Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί κάποιο από τα ελαττώματα και να τροποποιήσει κρίσιμα στοιχεία στον ισολογισμό μιας εταιρείας.
Η είδηση μέχρι στιγμής δεν έχει επιβεβαιωθεί επίσημα από εταιρεία.
 της Oracle, βεβαιωθείτε ότι έχετε κάνει update πρόσφατα){kind=link}