zhema
Опытный user
- Регистрация
- 19 Окт 2019
- Сообщения
- 130
- Реакции
- 1
Огромное количество организаций, использующих приложения Oracle E-Business, подвержены угрозе хакерских атак из-за существующих в нём уязвимостей. Около 50% организаций, использующих Oracle EBS, всё ещё установила обновления, исправляющие уязвимости CVE-2019-2648 и CVE-2019-2633. Это при том, что Oracle сделал данные обновления ещё апреле 2019 года.
Oracle E-Business Suite - набор приложений электронного бизнеса, предназначен для автоматизации основных направлений деятельности организаций, например: финансов, производства, управления персоналом, логистики, маркетинга, сбыта и продаж, обслуживания клиентов, взаимодействий с поставщиками и клиентами и прочего.
Две эти уязвимости находятся в API Thin Client Framework и дают возможность встроить SQL-код. Преступник, получивший удалённый доступ к EBS-серверу через HTTPS, может эксплуатировать уязвимости и отправить любые команды компьютеру жертвы.
Это создаёт большую угрозу для серверов, работающих с модулем Payments. Он предназначен для установки и планирования прямых депозитов и автоматических денежных переводов поставщикам или партнёрам, также он обрабатывает счета и заказы. Номера банковских операций и счетов для перечисления средств лежат на сервере в текстовых файлах и автоматически подгружаются по мере нужды. Киберпреступник может удалённо отредактировать эти файлы и внести инструкции по перечислению денежных средств на свой счёт.
В ситуации, когда EBS-сервер нужен для печати чеков, преступник может использовать эту возможность для печати фальшивых чеков. Однако, тогда ему понадобится доступ к принтеру и шаблонам чеков, которые могут быть на другом сервере.
Описанные уязвимости оценили в 9,9 балла по шкале CVSS.
Oracle E-Business Suite - набор приложений электронного бизнеса, предназначен для автоматизации основных направлений деятельности организаций, например: финансов, производства, управления персоналом, логистики, маркетинга, сбыта и продаж, обслуживания клиентов, взаимодействий с поставщиками и клиентами и прочего.
Две эти уязвимости находятся в API Thin Client Framework и дают возможность встроить SQL-код. Преступник, получивший удалённый доступ к EBS-серверу через HTTPS, может эксплуатировать уязвимости и отправить любые команды компьютеру жертвы.
Это создаёт большую угрозу для серверов, работающих с модулем Payments. Он предназначен для установки и планирования прямых депозитов и автоматических денежных переводов поставщикам или партнёрам, также он обрабатывает счета и заказы. Номера банковских операций и счетов для перечисления средств лежат на сервере в текстовых файлах и автоматически подгружаются по мере нужды. Киберпреступник может удалённо отредактировать эти файлы и внести инструкции по перечислению денежных средств на свой счёт.
В ситуации, когда EBS-сервер нужен для печати чеков, преступник может использовать эту возможность для печати фальшивых чеков. Однако, тогда ему понадобится доступ к принтеру и шаблонам чеков, которые могут быть на другом сервере.
Описанные уязвимости оценили в 9,9 балла по шкале CVSS.
