Эксперты российской компании Digital Security, специализирующейся на сетевой безопасности, обнаружили «дыры» в ERR-системе программного обеспечения Oracle.
На данный момент известно, что некоторые компоненты Oracle PeopleSoft, обладают критическими уязвимостями, позволяющими злоумышленникам не только красть персональные данные компаний, но и проводить кибердиверсии на предприятиях.
Отметим, что данное ПО используют более 7 тысяч компаний по всему миру, при этом порядка 50 фирм находятся в списке Fortune 100.
Digital Report пообщался с директором департамента аудита ИБ Digital Security Алексеем Тюриным, и узнал, какие опасности грозят пользователям PeopleSoft.
DR: Когда впервые стало известно о «дырах» в безопасности данного ПО Oracle?
— Данная уязвимость была представлена на конференции Hack in the Box 28 мая 2015 года в Амстердаме.
DR: Можно более подробно рассказать об опасности данных уязвимостей?
-Oracle PeopleSoft — это целый набор различных приложений, включающих модули HR, CRM,финансы и т.д., т.е. все основные бизнес-приложения. Любое из них по умолчанию поддерживает Single Sign-On технологию.
Пользователь может один раз ввести логин и пароль и система вернёт ему специальный идентификатор пользователя (cookie) — PS_TOKEN. Далее, с ним пользователь автоматически может быть аутентифицирован в других приложениях PeopleSoft.
При этом, идентификатор содержит информацию об имени пользователя, и если подменить в нем имя, то система нас аутентифицирует в таком случае под другим именем пользователя. Чтобы этого не произошло, в идентификаторе используется подпись — значение SHA1-хеш функции от всех значений в cookie, плюс специальный пароль (node password) самой системы (приложения PeopleSoft). Получив PS_TOKEN, атакующий может на своём хосте провести атаку на перебор всех возможных паролей этого node password.
Так, примерно за 12 часов возможно перебрать все буквенно-циферные пароли в 8 символов. Учитывая то, что этот пароль очень редко меняется и что администраторы часто ставят словарные/простые пароли (p@ssword), шанс на успешный перебор очень велик.
Таким образом, подобрав по PS_TOKEN cookie данный пароль, злоумышленник сможет создать новую PS_TOKEN для максимально привилегированного пользователя и войти в систему под ним.
К слову, в Интернете немало приложений PeopleSoft, и на очень многих из них PS_TOKEN cookie выставляется всем, даже без аутентификации. Таким образом, существует возможность проникнуть в очень многие системы. Фактические последствия от таких атак зависят от конкретной системы и целей атакующего. Можно вывести PeopleSoft из строя (остановка бизнес- процессов), можно украсть персональную информацию пользователей (для HR-систем), можно, наконец, похищать деньги — проводить различные финансовые операции, в том числе, менять информацию (например, о счете, на который переводится зарплата) и т.д.
DR: Был ли отправлен запрос в Oracle с уведомлением о ней?
— Да, Oracle в курсе данной проблемы. Но фактически это архитектурная уязвимость, и исправить ее полностью нет возможности. Единственное решение — правильная конфигурация системы (например, установка очень сложного пароля или использование сертификатов).
DR: Есть ли у вас примерная статистика пользователей данного ПО среди российских компаний?
— Две трети клиентов Oracle PeopleSoft — американские компании, причем достаточно крупные. Особенно популярна HR-система. Увы, информация по российскому рынку отсутствует, но я могу отметить, что в нашей стране данную систему возможно встретить только в очень крупных иностранных компаниях.
DR: Как обстоят дела с безопасностью у подобных программ от других разработчиков?
— До этого мы как раз занимались изучением безопасности продуктов компании SAP. И находили множество различных уязвимостей, возможных атак и т.д. И пару лет назад мы решили взглянуть на другие ERP-системы и сравнить. Oracle PeopleSoft была одной из них. И находка с PS_TOKEN — лишь одна из множества проблем, найденных нами (но, конечно, одна из самых критичных).
Крупные бизнес-системы (типа ERP) содержат множество уязвимостей (многие вендоры не обращают особого внимания на безопасность). Кроме того, эти решения такие нетипичные и сложные, что многие администраторы не умеют/не знают, их безопасно настраивать.
В итоге, самые критичные бизнес-системы компаний оказывают самым уязвимым их звеном. В заключении стоит отметить, что это не первая уязвимость, выявленная специалистами Digital Security в программном обеспечении, использующемся в крупных компаниях. Так, за период с 2011 по 2013 год, эксперты нашли несколько «дыр» в продуктах SAP, при этом был выявлен и троян, имевший отношение к ERP-системе этого ПО.
Кроме того, в ноябре прошлого года, Digital Security сообщила о ряде уязвимостей в антивирусных продуктах «Лаборатории Касперского», Avast Software и McAffe.
- Like
- Digg
- Del
- Tumblr
- VKontakte
- Buffer
- Love This
- Odnoklassniki
- Meneame
- Blogger
- Amazon
- Yahoo Mail
- Gmail
- AOL
- Newsvine
- HackerNews
- Evernote
- MySpace
- Mail.ru
- Viadeo
- Line
- Comments
- Yummly
- SMS
- Viber
- Telegram
- Subscribe
- Skype
- Facebook Messenger
- Kakao
- LiveJournal
- Yammer
- Edgar
- Fintel
- Mix
- Instapaper
- Copy Link
