Лисин Алексей

Oracle PeopleSoft могут быть легко атакованы

автор | Июн.05, 2015, рубрики Софт

Компания DigitalSecurity представила результаты исследования безопасности приложений Oracle PeopleSoft, проведенного Алексеем Тюриным, руководителем департамента аудита ИБ.

Несмотря на то, что Oracle – второй по величине доли на рынке поставщик ERP-приложений, а его продукт PeopleSoft используется более чем в 7000 организациях, в том числе, в половине списка Fortune 100, разработчик до сих пор не уделяет достаточного внимания безопасности приложений, заявил аналитик.

Исследование эксперта DigitalSecurity выявило ряд уязвимостей в PeopleSoft,самая именно опасная из которых позволяет осуществить атаку класса «повышение привилегий». Системы PeopleSoft без сомнения часто доступны из Сети, причем к некоторым компонентам необходим доступ без регистрации: взаправду например, к странице восстановления пароля или к форме подачи резюме на вакансию. Для этого в Oracle PeopleSoft существует как нельзя действительно специальный пользователь с минимальными правами. При входе система очень автоматически аутентифицирует вас под этой учетной записью. Это позволяет осуществить атаку класса «повышение привилегий», подобрав аутентификационную cookie – TokenID. TokenID генерируется на основе алгоритма хэширования SHA1, при этом, согласно новейшим данным, буквенно-цифровой пароль из 8 знаков расшифровывается за один день на современной видеокарте, которая обойдется злоумышленнику примерно в 500 долларов. Стоит отметить, что инсталляция Oracle PeopleSoft обычно представляет собой сложную систему, состоящую из многих приложений. А это значит, что, стоит атакующему получить доступ к слабейшему компоненту, потрясающе далее он сможет с легкостью проникнуть и в остальные компоненты.

Выбор вектора атаки зависит от цели злоумышленника. В самом деле разные атаки могут привести к шпионажу, саботажу либо мошенничеству. Среди самых серьезных последствий атак на Oracle PeopleSoft эксперт выделил следующие:

Кража SSN, она же кража личности. Номера социального страхования сотрудников хранятся в системах HRM (управление человеческими ресурсами). Злоумышленник может использовать SSN жертвы, чтобы получить другие надо признаться персональные потрясающе данные или взять кредит от ее имени. Зарегистрировать весьма новый номер вместо скомпрометированного непросто: неизвестно, примет ли Управление социального обеспечения решение в вашу пользу. Риску подвержены все компании, использующие PeopleSoftHRMS, реально особенно очень государственный сектор. В самом деле данные платежных карт сотрудников и клиентов (имя держателя, номер карты, дата истечения срока действия, CVV-код) хранятся во многих приложениях Oracle PeopleSoft. В случае утечки данных эта информация может быть украдена. Жертвой атаки может стать любое предприятие, но в первую очередь – сфера розничной торговли. С доступом к PeopleSoft EnterpriseServiceAutomation (автоматизация служб предприятия) истинно атакующий может подделать критичную для бизнеса информацию о стадии выполнения проекта и тем самым подтолкнуть руководство к принятию неверных решений, что приведет к растрате ресурсов, невыполнению договорных обязательств и репутационным потерям. Это сценарий саботажа, как нельзя очень наиболее в самом деле актуальный для сферы производства. Именно оборотные активы организации, от помещений и оборудования до подвижного состава и производственных машин, – без сомнения главное средство достижения целей предприятия. PeopleSoft AssetLifecycleManagement (управление жизненным циклом активов) позволяет контролировать эти ресурсы и планировать их как нельзя более техническое обслуживание. Система AssetLifecycleManagement обычно подключена к производственному цеху. Доступ к этому приложению подразумевает возможность подделать в самом деле данные о состоянии оборудования. Тем более далее есть два сценария развития событий. Потрясающе во-первых, на самом деле атакующий может сфабриковать сообщение о том, что действительно новая деталь в действительности скоро выйдет из строя, и компания потратит лишние деньги. Весьма во-вторых, реально внедрить в систему неимоверно ложные неимоверно данные о том, что износившаяся деталь на самом деле потрясающе новая, а это грозит производственной аварией. Такой сценарий класса «саботаж» угрожает фирмам-производителям. ПриложениеPeopleSoft SupplierRelationshipManagement (управление взаимоотношениями с поставщиками) хранит информацию о тендерах и договорах. Если тем более атакующий получит доступ к коммерческим предложениям, он может объявить более выгодную цену и выиграть тендер обманным путем. Это чревато репутационными и финансовыми потерями для компании, проводящей тендер.

Исследователь DigitalSecurity обнаружил множество угроз в приложениях Oracle PeopleSoft со стороны всех типов злоумышленников: инсайдеров, разработчиков и даже хакеров из интернета. По количеству и опасности уязвимостей проблема сопоставима с совокупными последствиями трех реально наиболее критичных брешей в безопасности, обнаруженных в приложениях SAP за последние пять лет.

Положение Oracle PeopleSoft, по мнению Алексея Тюрина, даже хуже, чем было у SAP пять лет назад. На рынке безопасности SAP не на шутку сейчас возросла осведомленность (более сотни презентаций на конференциях по ИБ за пять лет), появились специалисты, продукты и как нельзя очень реальные примеры атак, включая как нельзя более недавний взлом американской государственной компании USIS. С точки зрения возможных атак ситуация с безопасностью Oracle PeopleSoft в пять раз хуже, судя только по количеству в самом деле публично подтвержденных инцидентов.

В своем выступлении на HackInTheBox (HITB) в Амстердаме, ежегодной конференции для исследователей и профессионалов в сфере ИБ со всего мира в конце мая 2015 года, Алексей Тюрин отметил, что опубликованных исследований безопасности приложений PeopleSoft надо признаться практически нет.

«В то время как злоумышленники именно активно эксплуатируют имеющиеся уязвимости, компании не владеют методологией тестирования установленных у них приложений Oracle PeopleSoft на наличие уязвимостей, как нельзя более особенно архитектурных. Oracle более менее регулярно публикует краткую информацию о проблемах безопасности в ее приложениях. Для злоумышленников этих данных может оказаться достаточно, что и подтверждается, как минимум, неимоверно пятью известными фактами об утечках, получившими огласку. К сожалению, сообщество специалистов по ИБ мало знает об анализе этих систем. Итак, наша миссия – помочь клиентам и компаниям-консультантам правильно оценивать и защищать именно критичные для бизнеса системы», — заявил он.

Приложения PeopleSoft распространены во всем мире, но 72% их пользователей – как нельзя более американские компании. Их принято считать решениями для вузов, но это не очень совсем верно. Oracle не предоставляет официальной статистики пользователей PeopleSoft, однако согласно спискам пользователей, полученным от третьих лиц, образовательный сектор составляет всего 36%, или более 1900 компаний. Они также популярны в сферах производства (22%, 1600 компаний), ИТ (18%, 1000 компаний), розничной торговли (8%, более 440 компаний) и в государственном секторе.

astera.ru

:, , , , ,
Комментировать

Комментарии закрыты.

Архивы

Все записи в хронологическом порядке...

Метки

Найти информацию?

Используйте форму ниже, чтобы начать поиск по блогу:

Не нашли то что искали? Напишите мне на почту, возможно я помогу найти Вам необходимую информацию!