Из-за брешей в системах Oracle PeopleSoft могут быть похищены тысячи пользовательских данных

image

Теги: Oracle, уязвимость, кибератака

Системы Oracle PeopleSoft являются сложными, и им недостаточно простого обновления.

ИБ-эксперты предупреждают, что уязвимости в системах Oracle PeopleSoft могут стать причинной утечки персональных данных в бизнес-компаниях, государственных организациях и университетах. Исследователи из ERPScan  определили  549 систем Oracle PeopleSoft, доступ к которым можно получить через интернет. 231 из них уязвима к кибератакам типа TokenChpoken, которую эксперты ERPScan продемонстрировали в этом году.

По словам ИБ-эксперта из ERPScan Алексея Тюрина, самая критическая уязвимость кроется в некорректной генерации токенов для единого входа в систему. Исследователь  создал  сценарий, выполняющий брутфорс-атаку на токен и генерирующий новые cookie-файлы, и с успехом использовал его в ходе пентестинга систем PeopleSoft.

Технический директор ERPScan Александр Поляков рассказал изданию SCMagazine о том, что многие крупные мировые компании используют платформу Oracle PeopleSoft для управления различными ресурсами организации, включая такую личную информацию, как номера социального страхования и данные платежных карт.

Согласно информации ERPScan, кибератака TokenChpoken может быть осуществлена злоумышленниками для получения доступа к любой учетной записи в Oracle PeopleSoft, в результате чего в руках преступников оказывается полный доступ к системе PeopleSoft. 

Из 549 систем Oracle PeopleSoft, доступных через интернет, 249 серверов принадлежат коммерческим предприятиям (169 компаний находятся в США), 64 сервера относятся к военным и государственным учреждением, а остальные 236 – университетам. Около 80 университетов используют систему Oracle PeopleSoft, которая уязвима к атаке TokenChpoken.

Стоит отметить, что в числе «уязвимых» университетов находится Гарвард, на компьютерную систему которого недавно была  совершена  кибератака. В результате нападения были скомпрометированы пароли электронной почты некоторых преподавателей, сотрудников и студентов (имена не уточняются) из многочисленных учебных подразделений.

Поляков отметил, что системы Oracle PeopleSoft являются сложными, и им недостаточно простого обновления.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.