Oracle 最近修复的两个严重的电子商务套件 (E-Business Suite, EBS) 漏洞可被用于实现多种恶意目的,如篡改某组织机构的金融记录。
Oracle EBS 是一款商业管理解决方案,应用于全球超过2.1万个组织机构中。它包括用于客户关系管理、金融、人力资源、供应链管理、合同、采购和计划的应用程序。Onapsis 公司的研究员去年在 Oracle EBS 中发现了多个漏洞,其中一些由 Oracle 在2019年4月修复,但其中两个被 Onapsis 公司称作 “BigDebIT” 的漏洞直到2020年1月的“关键补丁更新 (CPU)”发布时才修复。Onapsis 公司预计互联网上至少暴露了1500个 Oracle EBS 部署,如果它们未安装补丁则易遭攻击。成功利用这些漏洞(CVE-2020-2586和 CVE-2020-2587)的攻击者能够控制 EBS 环境,但研究人员强调了针对 EBS 中 General Ledger 应用的漏洞利用场景。General Ledger(“总账”)是一款流行的金融管理工具,旨在帮助组织机构追踪交易并确保合规性。由该应用生成的报告的准确性发挥着非常重要的作用。研究人员指出,远程未认证黑客能够利用 BigDebIT 漏洞修改金融报告,以隐藏偷盗或导致目标公司产生合规性问题。令人担忧的是,攻击能够绕过很多安全解决方案并且攻击者能够隐藏行踪。研究人员在报告中指出,“一旦财务报告期关闭,那么金融数据应该是不变的。如攻击者修改了财务报告日和审计日之间的General Ledger 报告,则会严重损害公司利益及其合规流程。”报告指出,“余额如遭修改,其修改幅度和重要性可能导致审计期间通过常见控制(如对账或差异检查)发出警报,而修改的复杂度使得难以(或甚至不可能)识别和解释为何在没有修改记录的情况下财务余额和系统数据不匹配。这将会使得内部资源和外部资源(专家和/或外部审计人员)的劳动时间和费用大幅增加。尽管组织机构已尽了最大努力,但仍然可能发现不了记录更改是由利用 Oracle EBS 的 General Ledger 漏洞引发的而非是真实的业务或会计交易行为。”完整报告请见:https://go.onapsis.com/l/127021/2020-06-11/43q2vp/127021/169116/Onapsis_ThreatReport_Oracle_Ledger_BigDebIT_PRINT_6.11.2020.pdf
https://www.securityweek.com/oracle-ebs-vulnerabilities-allow-hackers-tamper-financial-records
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
点个 “在看” ,加油鸭~