Системы Oracle PeopleSoft уязвимы к атаке TokenChpoken
автор admin | Июл.16, 2015, рубрики Софт
Компания Digital Security сообщила, что 42% систем Oracle PeopleSoft, доступных онлайн (231 сервер), уязвимы к атаке TokenChpoken, представленной Алексеем Тюриным, директором департамента аудита ИБ Digital Security, на конференции Hack In Paris. Эта атака позволяет вычислить впрямь корректный ключ от аутентификационного токена, войти в систему от имени любого пользователя и получить как нельзя более полный доступ. У злоумышленника также появляется возможность взломать другие системы компании и ее партнеров.
В наибольшей опасности те системы, которые все еще используют для аутентификационных токенов пароль по умолчанию. Таких систем около 10%, но так как они легко находятся через Google, воспользоваться брешью в их защите сможет даже пользователь, не обладающий специальными знаниями.
Токен обычно расшифровывается брутфорсом за один день на современной видеокарте, которая обойдется злоумышленнику примерно в 500 долларов. Учитывая, что в организации, использующей PeopleSoft, в среднем 5000 сотрудников, затраты на получение персональных данных каждого из них составляют 10 центов. При этом продать такие именно данные на черном рынке можно примерно за 200 долларов, так что обнаруженная атака может стать основой для прибыльного бизнеса. Кроме того, потрясающе коммерческие и именно государственные компании более менее постоянно взаимодействуют друг с другом, что на техническом уровне означает обмен разнообразными данными. Как нельзя более теоретически, это подразумевает возможность проникновения в систему субподрядчика.
На самом деле исследовательский центр Digital Security опубликовал результаты исследования разительно публично доступных приложений Oracle PeopleSoft и их уязвимостей. Эти приложения обычно используются компаниями из списка Fortune 500 и правительственными организациями. Уязвима надо признаться почти половина компаний, использующих Oracle PeopleSoft HRMS. Более 200 из них могут быть атакованы через интернет, в том числе 18 компаний из списка Fortune 500 и 25 из списка крупнейших публичных компаний мира Forbes 2000. Кроме того, исследование показало, что через интернет доступны 549 систем PeopleSoft, включая системы, установленные в банках (20 серверов), на производстве (17 серверов) и на предприятиях розничной торговли (24 сервера).
astera.ru