Закрытая во вторник 17 октября уязвимость с удаленным выполнением кода в рамках масштабного ежеквартального выпуска критических патчей компании Oracle стала тревожным звонком для предприятий, использующих продукт PeopleSoft с открытым доступом из Интернета.

Данный баг с идентификатором CVE-2017-10366 позволяет злоумышленнику удаленно выполнить код на сервере с ПО PeopleSoft. Исследователи из ERPScan выяснили, что ошибка кроется в движке ядра.

Другими словами, она может присутствовать в различных продуктах PeopleSoft.

Ошибка попала в число 252 брешей, ранее закрытых Oracle, и получила оценку 9,8 балла из 10 возможных по шкале CVSS. В бюллетене безопасности написано, что баг дает атакующему возможность удаленно выполнять команды на сервере посредством вредоносного сериализованного пакета Java.

«Чтобы воспользоваться уязвимостью, нужно отправить службе PeopleSoft HTTP-запрос, содержащий сериализованный объект Java, — сообщил Александр Поляков, технический директор ERPScan. — После десериализации он сможет выполнять любые команды на сервере».

«Поскольку уязвимость содержится в HTTP-службе, если система PeopleSoft предприятия доступна из Интернета, она уязвима к интернет-атакам», — добавил эксперт.

Сканирование через сервис Shodan, проведенное Поляковым вместе с другими экспертами ERPScan, выявило более тысячи систем PeopleSoft с доступом к Интернету; 200 из них принадлежат государственным учреждениям и университетам США.

Выпущенные во вторник обновления примечательны числом устраненных багов в продуктах PeopleSoft — в общей сложности 23, при этом 13 из них можно эксплуатировать по сети без авторизации. Компания PeopleSoft конкурирует с SAP, Microsoft и другими на ниве бизнес-приложений для выполнения ответственных задач: финансовых операций, управления цепочкой поставок, взаимодействия с клиентами и партнерами. Согласно данным ERPScan, в 2017 году наблюдается резкий рост числа патчей для ПО PeopleSoft, производителя которого Oracle поглотила в 2004 году.

Количество заплаток для PeopleSoft достигло рекордной отметки во время июльской волны критических патчей от Oracle, — 30 патчей, в то время как в апреле их число составило 16, в январе — лишь 7. В текущем году Oracle совокупно выпустила 76 обновлений для PeopleSoft, в 2016 году их было 44, в 2015 году — 29. Предшествующие выпуски обычно содержали не более десяти заплаток для решения PeopleSoft.

«Рассмотрев самые распространенные ERP-системы от SAP, исследователи стали зарываться глубже в другие системы и пришли к выводу, что местами безопасность уступает даже решениям SAP, — заявил Поляков. — При этом системы PeopleSoft хранят и обрабатывают массу критически важных данных, на которые распространяются «Общие положения о защите данных» ЕС (GDPR), ставшие одной из главных тем в этом году».

Дважды за год компания SAP закрывала критические уязвимости в облачной СУБД HANA на основе технологии in-memory. В марте эксперты обнаружили целый ряд уязвимостей, воспользовавшись которыми, можно получить доступ к сведениям в БД. В мае компания исправила серьезные баги в SAP POS и Host Agent.

Новый набор обновлений от Oracle также включает патчи для Fusion Middleware, Hospitality Applications, E-Business Suite, СУБД MySQL, коммуникационных приложений, Java и сотни других продуктов.

Две уязвимости в Oracle Hospitality Reporting and Analytics получили максимальную оценку по шкале CVSS — 10,0 балла. Обе бреши эксплуатируются по HTTP и без аутентификации, позволяя злоумышленнику получить доступ ко всем отчетам и аналитическим данным, проходящим через систему.

Это последний в этом году набор критических исправлений от Oracle, который стал рекордным по числу закрытых уязвимостей. По данным ERPScan, компания-разработчик суммарно пропатчила 1119 багов в этом году, в то время как в прошлом их было 914, а в позапрошлом — 614.

Категории: Уязвимости