Oracle解决了其电子商务套件(EBS)业务管理解决方案中的两个安全漏洞,这些漏洞可能使攻击者能够进行广泛的恶意活动,包括篡改组织的财务记录。
Oracle EBS当前在全球成千上万的组织中使用,其总帐管理系统(Oracle General Ledger)是一种自动财务处理软件,可作为会计信息的存储库,并作为E-Business Suite(该公司的集成应用程序套件)的一部分提供,该套件涵盖企业资源计划(ERP),供应链管理(SCM),和客户关系管理(CRM),用户可以将其实施到自己的业务中。
总帐管理系统还可以用于生成公司财务报告以及进行审计,以确保公司能遵守2002年的SOX法案。
然而企业网络安全公司Onapsis在The Hacker News上分享的报告中,披露了Oracle电子商务套件(EBS)中的存在的一些技术漏洞细节。
其中这个被称为“ BigDebIT ”的漏洞,可能允许攻击者执行广泛的入侵活动,其中就包括篡改公司的财务记录。
好在CVE-2020-2586和CVE-2020-2587以及被称为“ BigDebIT”的漏洞已被Oracle公司于2020年1月修复。
但是该公司表示,截至目前为止,约有50%的Oracle EBS客户尚未更新漏洞补丁,所以依然有大量易受攻击的Oracle系统暴露在网上。
如果您的业务运营和敏感数据的安全性依赖于Oracle的E-Business Suite(EBS),强烈建议立即进行评估测试,以确保不会受到这些涉及财务风险漏洞的影响,并及时下载该软件的最新版本。
研究人员称,不良行为者可能会利用这些安全漏洞来针对会计工具(例如General Ledger),来窃取敏感信息并进行财务欺诈,并且不会留下任何痕迹。
Onapsis证明:“一旦财务报告期结束,财务数据就不会更改。如果攻击者在关闭期间和审计期间修改总账报告,将对公司及其合规流程造成严重损害”,即使在财务报告期结束后,未经身份验证的远程攻击者也可以利用BigDebIT漏洞来更改财务报告,从而绕过现有的安全解决方案并隐藏其活动。
“公司需要意识到,Oracle EBS的系统易受此类入侵,当前的GRC工具和其他传统安全方法(防火墙,访问控制,SoD和其他方法)都无法有效地防止攻击。”
黑客如果利用该漏洞篡改数据,用户很难(甚至不可能)发现到底是黑客篡改的还是实际业务的数值,除非通过非常广泛的内部或外部审核找到证据,才能解释为什么财务余额与系统数据不匹配,所以请使用这个系统的用户不要掉以轻心,建议马上对数据进行备份,并采取相应的安全措施。
参考链接
https://securityaffairs.co/wordpress/104840/hacking/bigdebit-flaws-oracle-ebs.html
*本文作者:日影飞趣,转载请注明来自FreeBuf.COM