甲骨文 EBS 漏洞可让黑客随便“印钞”
星期五, 十一月 22, 2019
50% 的客户未打补丁……
安全公司 Onapsis 称,在甲骨文公司电子商务套件 (EBS: E-Business Suite) 中发现一系列关键漏洞,可致攻击者获得电子转账和打印银行支票的控制权,且其行为无法检测与追踪。
该攻击链利用了两个主要漏洞,位于波士顿的网络安全公司 Onapsis 将其命名为 Oracle PAYDAY(甲骨文发薪日)。Onapsis 称,尽管甲骨文现已修复该漏洞,但估计该公司企业资源规划 (ERP) 软件客户中半数都未部署补丁:意味着超过 1 万家公司面临风险。
这些客户很多都只在内网运行该软件,但 Onapsis 估测,至少 1,500 个 EBS 直接接入互联网。若未打补丁,该漏洞可被未经身份验证的攻击者远程利用,获得此广为使用的 ERP 系统的完整访问权。
漏洞针对 EBS 产品中的一个 API——由甲骨文提供的瘦客户端框架 (TCF) API,开发人员可以此建立基于服务器的应用;CVSS 漏洞评分高达 9.9 (最高危为 10 分)。
由于甲骨文的 EBS 包含 Payments(支付)模块供公司企业从银行账户实际转账或生成支票,恶意接管该模块可对用户造成极大损害。
甲骨文公司在 2018 年发布了解决此问题的第一个关键补丁更新 (CPU),后续补丁不断放出以解决此漏洞的不同方面,包括 2019 年 4 月 CPU 中针对这两个关键漏洞 (CVE-2019-2638, CVE-2019-2633) 的最新可用补丁。
尽管 ERP 包含支付模块审计表,由于 SQL 协议允许攻击者对 APPS 用户执行任意查询,攻击者是有可能禁用并删除这些审计日志表的。Onapsis 宣称已成功创建概念验证,可用特殊构造的查询语句检测并删除审计表。
最后,创建一组数据库触发器将所有信息恢复到攻击发生前的样子,掩盖掉所有攻击痕迹。
Onapsis 博客文章: