Контакты
Подписка 2021
МЕНЮ
Контакты
Подписка

Половина компаний, использующих ПО Oracle EBS, не установили патчи для уязвимостей

21/11/19

OracleТысячи предприятий, использующих программное обеспечение Oracle E-Business, находятся в зоне риска атак в связи с содержащимися в нем уязвимостями. По данным компании Onapsis, примерно половина организаций, использующих Oracle EBS, все еще не применила обновления, устраняющие уязвимости CVE-2019-2648 и CVE-2019-2633, несмотря на то, что производитель выпустил соответствующие патчи еще в минувшем апреле.

Обе уязвимости содержатся в API Thin Client Framework и позволяют внедрить SQL-код. Злоумышленник, получивший удаленный доступ к EBS-серверу через HTTPS, может проэксплуатировать уязвимости и отправить произвольные команды атакуемому компьютеру.

Проблемы представляют серьезную угрозу для серверов, использующих модуль Payments. Он позволяет компаниям устанавливать и планировать прямые депозиты и автоматические денежные переводы поставщикам или партнерам, а также обрабатывать счета и заказы. Номера банковских транзакций и счетов для перевода хранятся на сервере в виде текстовых файлов и автоматически загружаются при необходимости. Злоумышленник может удаленно изменить данные файлы и добавить инструкции по переводу денежных средств на выбранный им счет.

В случае, если EBS-сервер используется для печати чеков, злоумышленник может воспользоваться данной возможностью для печати поддельных чеков. Правда, для этого ему потребуется доступ к принтеру и шаблонам чеков, которые могут храниться на другом сервере.

Уязвимости получили оценки в 9,9 балла по шкале CVSS.

Темы:OracleУгрозыполитика компании

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...