Korzystasz z Oracle E-Business Suite? Lepiej upewnij się, że masz aktualną wersję.

Raport wydany przez firmę Onapsis zajmującą się cyberbezpieczeństwem, ujawnia szczegóły techniczne luk w pakiecie Oracle E-Business Suite (EBS). Grupie aplikacji CRM, ERP i SCM zaprojektowanych do automatyzacji procesów organizacyjnych.

Dwa błędy, o których mowa, nazwane „BigDebIT” i ocenione na 9,9 w skali CVSS, zostały załatane przez Oracle w ramach styczniowej aktualizacji. Firma przyznała jednak, że ok. 50% klientów EBS wciąż jej nie zainstalowało…

Według specjalistów nieautoryzowany przestępca może wykonać zautomatyzowany exploit w module General Ledger, aby “wyciągnąć” aktywa z firmy (np. gotówkę) i zmodyfikować tabele księgowe nie pozostawiając po sobie śladu.

Ilustracja przedstawia atak na niezabezpieczone Oracle EBS System Alters
Źródło: The Hacker News

Udane wykorzystanie tej luki może umożliwić osobie atakującej kradzież poufnych informacji, dokonanie oszustwa finansowego i wywołanie opóźnień w raportach finansowych związanych z procesami zgodności firmy (compliance).

Nowe wady, oznaczone jako CVE-2020-2586 i CVE-2020-2587, znajdują się w Oracle Human Resources Management System (HRMS), w komponencie o nazwie Hierarchy Diagrammer. Umożliwia on użytkownikom tworzenie hierarchii organizacji i pozycji związanych z przedsiębiorstwem. Luki zostać wykorzystane nawet jeśli klienci EBS wdrożyli poprzednie łatki wydane w kwietniu 2019. Dlatego tak ważne jest zainstalowanie najnowszej wersji oprogramowania.

Źródło