Эксперты: Бреши в Oracle PeopleSoft могут привести к краже персональной информации

image

Теги: брешь, платформа, брутфорс-атака, пароль, ключ

Любой атакующий может получить привилегии администратора путем осуществления брутфорс-атаки.

В ходе выступления на конференции Hack in the Box, которая проходила в Амстердаме, специалисты компании Digital Security Александр Поляков и Алексей Тюрин сообщили, что платформа Oracle PeopleSoft содержит ряд брешей, эксплуатация которых позволит злоумышленникам легко получить пароли администратора.

По их словам, учетные данные клиентов PeopleSoft могут быть извлечены из токенов, содержащихся на сайтах для восстановления паролей, и взломаны при помощи дешевого графического процессора, что займет не более суток, пишет The Register.

Это становится возможным из-за слабых стандартов генерации ключей, вынуждающих администраторов использовать очень длинные пароли, если, конечно, у них не установлены последние версии PeopleSoft. Множество учетных данных в платформе установлены по умолчанию, так же как и на сервере приложений Oracle WebLogic Server.

Как отметил Поляков, любой атакующий может получить привилегии администратора путем осуществления брутфорс-атаки на специальный пароль, использующий алгоритм хеширования SHA1. Более того, в некоторых случаях злоумышленнику даже не потребуется наличие учетной записи для того, чтобы извлечь ключ, поскольку некоторые публичные web-страницы (восстановления пароля и пр.) генерируют ключи автоматически.

По словам специалистов, в других компонентах PeopleSoft также по умолчанию установлены универсальные пароли, поэтому систему даже не придется взламывать. Единственным выходом из ситуации, отметил Поляков, будет установка сильного пароля для узла или замена аутентификации с помощью пароля на авторизацию сертификатами.

На сегодняшний день платформу Oracle PeopleSoft использует 7 тыс. предприятий, часть из которых входит в список самых крупных компаний США по версии журнала «Forbes».

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.