21/11/19
Тысячи предприятий, использующих программное обеспечение Oracle E-Business, находятся в зоне риска атак в связи с содержащимися в нем уязвимостями. По данным компании Onapsis, примерно половина организаций, использующих Oracle EBS, все еще не применила обновления, устраняющие уязвимости CVE-2019-2648 и CVE-2019-2633, несмотря на то, что производитель выпустил соответствующие патчи еще в минувшем апреле.
Обе уязвимости содержатся в API Thin Client Framework и позволяют внедрить SQL-код. Злоумышленник, получивший удаленный доступ к EBS-серверу через HTTPS, может проэксплуатировать уязвимости и отправить произвольные команды атакуемому компьютеру.
Проблемы представляют серьезную угрозу для серверов, использующих модуль Payments. Он позволяет компаниям устанавливать и планировать прямые депозиты и автоматические денежные переводы поставщикам или партнерам, а также обрабатывать счета и заказы. Номера банковских транзакций и счетов для перевода хранятся на сервере в виде текстовых файлов и автоматически загружаются при необходимости. Злоумышленник может удаленно изменить данные файлы и добавить инструкции по переводу денежных средств на выбранный им счет.
В случае, если EBS-сервер используется для печати чеков, злоумышленник может воспользоваться данной возможностью для печати поддельных чеков. Правда, для этого ему потребуется доступ к принтеру и шаблонам чеков, которые могут храниться на другом сервере.
Уязвимости получили оценки в 9,9 балла по шкале CVSS.
