Компания Oracle выпустила 237 патчей к уязвимостям в сотнях различных версий продуктов в составе последнего квартального набора критических обновлений.

Большинство исправлений приходятся на такие продукты, как Oracle Financial Services Applications — 34, Fusion Middleware — 27, MySQL — 25 и Java SE — 21 патч соответственно. Многие из устраненных уязвимостей эксплуатировались удаленно и без авторизации.

Как обычно, компания Oracle призывает пользователей как можно скорее установить патчи и отмечает, что продолжает фиксировать случаи взлома через уязвимости, к которым уже существуют заплатки.

К примеру, недавно исследователи SANS Technology Institute раскрыли подробности инцидента, в котором хакеры путем эксплойта взломали системы с решениями Oracle WebLogic Server и PeopleSoft, установили на серверы майнер Monero и в итоге получили $226 тысяч в криптовалюте.

Патч к использованной ими уязвимости, позволяющей удаленно выполнять команды в экземплярах WebLogic, разработчик выпустил еще в октябре, но пользователи, по всей видимости, не установили его на пострадавшие системы.

Атака с целью майнинга Monero подтолкнула специалистов SAP и Onapsis, снабжающую Oracle защитными решениями, проверить на уязвимость другие приложения компании, обрабатывающие массивы ключевой бизнес-информации. К удивлению исследователей, слабым звеном оказался пакет Oracle E-Business Suite, о чем они написали в блоге Onapsis.

«Успешный эксплойт обеспечивает атакующему полный контроль над операционной системой с широкими правами (APPLMGR) и открывает возможность для последующих атак, способных подорвать секретность, достоверность и доступность данных», — написано в посте.

В результате в распоряжении хакера окажется удаленная консоль, через которую можно установить любой вредоносный код — майнер криптовалют, руткит или вымогательское ПО.

Свежий набор обновлений от Oracle включает семь патчей к E-Business Suite. Две из этих уязвимостей, получившие оценку 9,1 балла по шкале CVSS, обнаружили эксперты Onapsis. Данные бреши способны нанести значительный ущерб корпоративным системам. Вот что об этом пишут сами специалисты Onapsis:

«Киберпреступник сможет получить любые сведения — например, данные банковских карт, информацию о клиентах или поставщиках, выполнив произвольный запрос по базе. Также он может изменить цены по счетам-фактурам в базе данных, поставив под сомнение достоверность сведений, либо, если цель злоумышленника — нарушить работоспособность, он может удалить одну из таблиц конфигурации или же выполнить команду, которая приведет к повреждению базы данных».

Себастьян Бортник (Sebastian Bortnik), глава исследовательской лаборатории Onapsis, высказал мнение, что организаторы Monero-кампании и аналогичных атак могут даже не задумываться о том, какие сведения хранятся на взломанных серверах, добывающих криптовалюту. Скорее всего, менее опытные злоумышленники просто хотят позаимствовать чужие вычислительные мощности.

«Они знают, что нашли золотую жилу, но полностью не осознают, какого типа серверы они эксплуатируют», — считает Бортник.

Разумеется, это не значит, что корпоративный сектор может вздохнуть с облегчением. Если злоумышленники зашифруют критические данные с помощью программ-вымогателей, такая атака выжмет из предприятия намного больше, чем $226 тысяч. Бортник подчеркнул, что существует целый класс киберпреступников, занимающихся кражей и продажей корпоративных данных конкурентам и другими махинациями.

Категории: Главное, Уязвимости