Старые уязвимости в Oracle E-Business подвергают компании риску атак

Старые уязвимости в Oracle E-Business подвергают компании риску атак

Половина компаний, использующих ПО Oracle EBS, не установили выпущенные в апреле 2019 года патчи для уязвимостей.

image
Тысячи предприятий, использующих программное обеспечение Oracle E-Business, находятся в зоне риска атак в связи с содержащимися в нем уязвимостями. По данным компании Onapsis, примерно половина организаций, использующих Oracle EBS, все еще не применила обновления, устраняющие уязвимости CVE-2019-2648 и CVE-2019-2633, несмотря на то, что производитель выпустил соответствующие патчи еще в минувшем апреле.

Обе уязвимости содержатся в API Thin Client Framework и позволяют внедрить SQL-код. Злоумышленник, получивший удаленный доступ к EBS-серверу через HTTPS, может проэксплуатировать уязвимости и отправить произвольные команды атакуемому компьютеру.

Проблемы представляют серьезную угрозу для серверов, использующих модуль Payments. Он позволяет компаниям устанавливать и планировать прямые депозиты и автоматические денежные переводы поставщикам или партнерам, а также обрабатывать счета и заказы. Номера банковских транзакций и счетов для перевода хранятся на сервере в виде текстовых файлов и автоматически загружаются при необходимости. Злоумышленник может удаленно изменить данные файлы и добавить инструкции по переводу денежных средств на выбранный им счет.

В случае, если EBS-сервер используется для печати чеков, злоумышленник может воспользоваться данной возможностью для печати поддельных чеков. Правда, для этого ему потребуется доступ к принтеру и шаблонам чеков, которые могут храниться на другом сервере.

Уязвимости получили оценки в 9,9 балла по шкале CVSS.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle