Почти половина пользователей набора бизнес-приложений Oracle E-Business Suite все еще не установили патчи для уязвимостей PayDay, закрытых вендором в апреле 2019 года. Эксплуатация этих недостатков позволяет злоумышленнику вывести деньги с расчетного счета компании или сформировать банковские чеки для получения наличных.

Чем грозят уязвимости PayDay в Oracle EBS

Специалисты компании Onapsis, отслеживающей проблемы безопасности в решениях Oracle, выяснили, что примерно 21 тыс. установленных экземпляров E-Business Suite (EBS) уязвимы для атак с использованием CVE-2019-2638 и CVE-2019-2633, получивших общее название PayDay. Оба бага имеют критический уровень угрозы и оценены специалистами в 9,9 балла CVSS. Патчи, устраняющие эти ошибки, вошли в апрельский комплект обновлений безопасности производителя, однако не все пользователи торопятся их установить.

Эксперты Onapsis продемонстрировали два сценария атаки через эти баги. В первом случае неавторизованный злоумышленник получает возможность внести изменения в утвержденные платежные поручения и выполнить перевод средств на свой счет. Это действие не отражается в журнале событий, поскольку мошенническая операция выполняется в обход системы разделения прав и контроля доступа.

Второй тип атаки нацелен на создание и печать банковских чеков при помощи подсистемы Oracle EBS check. Наличие проблемы также позволяет преступнику скрыть следы своей деятельности, отредактировав журнал аудита программы. Сформированные чеки он сможет использовать для получения наличных в банке.

По мнению аналитиков, эксплуатация этих уязвимостей может привести не только к хищению денег, но также к перехвату управления EBS-системой. Кроме того, в ходе атаки могут быть скомпрометированы персональные данные, что повлечет штрафные санкции в рамках европейского акта GDPR и американского закона Сарбейнза — Оксли о прозрачности деятельности бизнес-структур.

Уязвимости PayDay — не единственные критические баги, выявленные в E-Business Suite в этом году. Июльский комплект патчей Oracle исправил две такие ошибки: в модуле Oracle Field Service и подсистеме EBS Payments. Последняя отвечает за обработку финансовых транзакций, поэтому обнаруженные проблемы могли привести к компрометации реквизитов банковских карт, хранящихся в базе данных приложения.

Категории: Аналитика, Главное, Кибероборона, Уязвимости