Oracle jest dostawcą oprogramowania z wykorzystaniem, którego powstaje olbrzymia ilość krytycznych aplikacji biznesowych. Systemy bilingowe w Telecomach i Gazowniach, rozliczenia międzybankowe czy gigantyczne kolekcje danych osobowych to tylko niektóre z wytworzonych systemów funkcjonujących na rynku IT w których zastosowano rozwiązania drugiej na świecie pod względem przychodów firmy informatycznej. (Pierwszy jest oczywiście Microsoft).
Z jakimi problemami bezpieczeństwa Oracle boryka się ostatnio? Opiszemy kilka faktów z ostatnich miesięcy.
W zeszłym tygodniu Securityweek informował, że dwie luki załatane ostatnio przez Oracle w rozwiązaniu E-Business Suite mogą być wykorzystywane przez hakerów do różnych celów, w tym do manipulacji danymi finansowymi organizacji.
Oracle E-Business Suite (EBS) to rozwiązanie do zarządzania biznesem, z którego korzysta ponad 21 000 organizacji na całym świecie. Obejmuje aplikacje do zarządzania relacjami z klientami, finansów, zasobów ludzkich, zarządzania łańcuchem dostaw, umów, zamówień i planowania. Badacze z Onapsis, firmy specjalizującej się w ochronie aplikacji o znaczeniu krytycznym, odkryli w ubiegłym roku kilka luk w zabezpieczeniach Oracle EBS. Niektóre wady zostały załatane przez dostawcę w kwietniu 2019 r., ale dwie z nich, które Onapsis nazwał „BigDebIT”, zostały naprawione tylko dzięki aktualizacji krytycznej łatki (CPU) wydanej przez Oracle w styczniu 2020 r. Badacze szacują, że istnieje co najmniej 1500 wdrożeń Oracle EBS, które są podatne na ataki wykorzystujące wady BigDebIT, jeśli łatki wydane przez producenta nie zostaną zainstalowane.
Osoba atakująca, której uda się wykorzystać te luki w zabezpieczeniach (CVE-2020-2586 i CVE-2020-2587), może przejąć kontrolę nad środowiskiem EBS, ale Onapsis zwrócił uwagę na scenariusz ukierunkowany na aplikację „Księgi głównej” w EBS. Jest to popularne narzędzie do zarządzania finansami, które pomaga organizacjom śledzić transakcje i zapewniać zgodność. Bardzo ważne jest, aby raporty generowane przez aplikację były dokładne.
Według Onapsis, zdalny i nieuwierzytelniony haker może wykorzystać luki BigDebIT do zmiany raportów finansowych w celu ukrycia kradzieży lub spowodowania problemów związanych ze zgodnością. Co niepokojące, atak może ominąć wiele rozwiązań bezpieczeństwa, a napastnicy mogą ukryć swoje działania.
„Po zamknięciu okresu sprawozdawczego dane finansowe nie powinny się zmieniać. Jeśli osoba atakująca zmodyfikuje raporty Księgi Głównej między zamknięciem okresu rozliczeniowego, a audytem, spowoduje krytyczne szkody dla firmy i jej procesu zgodności”, wyjaśnia Onapsis w raporcie.
„Zmienione salda, w zależności od wielkości i znaczenia, mogą powodować niezgodności w trakcie audytu, takie jak uzgodnienia kont, a w zależności od złożoności zmian, identyfikacja może być naprawdę trudna (a nawet niemożliwa). W jaki sposób można wyjaśnić, dlaczego salda finansowe nie pasują do danych systemowych, biorąc pod uwagę, że nie ma zapisu o wprowadzonej zmianie?”
Problemy z EBS to nie jedyne kłopoty Oracle z bezpieczeństwem. W kwietniu wyszła potężna kolekcja poprawek zabezpieczeń, która zawiera łącznie 397 poprawek luk dotyczących dwóch tuzinów produktów. Wraz z tym wydaniem pojawiła się informacje, że 264 zaatakowanych luk można wykorzystać zdalnie bez uwierzytelniania.
Około 60 nowo usuniętych luk uważa się za krytyczne, a ponad 55 z nich ma wynik CVSS 9,8. Około 90 podatności ma wynik CVSS 8,0 lub wyższy.
Oracle usunęło 51 luk w oprogramowaniu Fusion Middleware, ujawniając, że nieuwierzytelnieni, zdalni napastnicy mogą używać 44 z nich. Z ogólnej liczby 12 luk jest krytycznych (wynik CVSS 9,8).
Inne produkty to: powszechnie używany MySQL (otrzymał 45 poprawek, 9 dla luk w zabezpieczeniach, które można zdalnie wykorzystywać bez uwierzytelniania), Aplikacje komunikacyjne (39 poprawek, 35 zdalnie wykonywalnych błędów), Aplikacje usług finansowych (35 poprawek, 16 zdalnie wykorzystywanych wad) oraz Aplikacje detaliczne (27 łatek, 17 problemów zdalnie wykorzystywanych).
Dodatkowo Oracle naprawiło błędy bezpieczeństwa w wirtualizacji (19 łat – 1 błąd „zdalny bez uwierzytelnienia”), wiedzy (16-15), Java SE (15 – wszystkie zdalnie wykorzystywane), PeopleSoft (14-10), budownictwo i inżynieria (12 – 9), Systemy (9–2), Serwer bazy danych (8–2) i Menedżer przedsiębiorstw (7–5). GraalVM (5 łat – 2 luki zdalnie możliwe do wykorzystania bez uwierzytelnienia), Łańcuch dostaw (4 – 3), JD Edwards (4 – 2), Hyperion (3 – brak możliwości zdalnego wykorzystania), Aplikacje dla zdrowia (2 – 2), Narzędzia pomocy technicznej (2–2), aplikacje narzędziowe (2–2), bezpieczne kopie zapasowe (1–1) oraz aplikacje do żywności i napojów, globalne zarządzanie cyklem życia oraz Siebel CRM (każda z otrzymaną 1 łatką, ale nie w przypadku błędów zdalnie wykorzystywanych).
Firma twierdzi, że wiele poprawek wyszczególnionych w poradniku Oracle Critical Patch Update z kwietnia 2020 r. usuwa także inne luki w zabezpieczeniach oraz informuje:
„Nadal okresowo otrzymujemy raporty o próbach złośliwego wykorzystania luk w zabezpieczeniach, w przypadku których Oracle wydało już poprawki bezpieczeństwa. W niektórych przypadkach zgłaszano, że atakujący odnieśli sukces, ponieważ docelowi klienci nie zastosowali dostępnych poprawek Oracle. Dlatego Oracle zdecydowanie zaleca, aby klienci korzystali z aktywnie obsługiwanych wersji i bezzwłocznie stosowali poprawki bezpieczeństwa Critical Patch Update”.
Na początku maja Oracle ostrzegł klientów, że zauważono ataki, próbujące wykorzystać wiele ostatnio załatanych luk, w tym krytyczną lukę w serwerze WebLogic Server, wykrywaną jako CVE-2020-2883. Potwierdził to Eric Maurice, dyrektor ds. Zapewnienia bezpieczeństwa w Oracle, według jego słów firma otrzymała „doniesienia o próbach złośliwego wykorzystania szeregu ostatnio załatanych luk”. Wspomniał tylko o CVE-2020-2883, ale doradzał klientom, aby jak najszybciej zainstalowali najnowsze łatki.
Kilku niezależnych badaczy poinformowało o tym odkryciu. Między innymi Quynh Le za pośrednictwem inicjatywy Zero Day Initiative (ZDI) firmy Trend Micro, która niedawno opublikowała porady opisujące dwa warianty CVE-2020-2883.
„Specyficzna wada istnieje w ramach obsługi protokołu T3. Spreparowane dane w komunikacie protokołu T3 mogą spowodować „deserializację” niezaufanych danych. Osoba atakująca może wykorzystać tę lukę do wykonania kodu w kontekście bieżącego procesu”, ujawnia poradnik ZDI.
Podobno hackerzy wykorzystują luki w zabezpieczeniach Oracle WebLogic w swoich atakach, w niektórych przypadkach nawet przed wydaniem łatki przez Oracle.
Przypominamy kolejna kolekcja poprawek bezpieczeństwa dla produktów Oracle zostanie wydana 14 lipca a potem 20 października.