Россияне нашли в ПО Oracle опасные «дыры». Под угрозой более 7000 компаний

Безопасность Администратору
мобильная версия
, Текст: Сергей Попсулин
Обнаруженные российскими специалистами уязвимости в ERP-системе Oracle PeopleSoft могут стать причиной серьезных последствий: от кражи персональных данных до диверсий на производственных предприятиях.

Специалисты российской компании Digital Security обнаружили несколько уязвимостей в ERP-системе Oracle PeopleSoft, которую используют свыше 7 тыс. компаний, в том числе половина списка Fortune 100. Эти уязвимости могут стать причиной разных последствий — от кражи персональных данных до диверсии на производстве.

Некоторые компоненты PeopleSoft поддерживают вход через интернет, при этом в некоторых случаях посетителю не нужно регистрироваться, например, чтобы попасть на страницу восстановления пароля или в форму подачи резюме на вакансию. Для доступа к этим разделам в PeopleSoft существует специальная учетная запись с минимальными правами.

При обращении к указанным страницам посетитель автоматически попадает в систему под этим аккаунтом. Механизм доступа основан на аутентификационном куки — TokenID, — генерируемом на основе алгоритма хэширования SHA1. Используя видеокарту за $500, злоумышленник может в течение одного дня расшифровать TokenID и повысить свои привелегии в системе PeopleSoft, рассказали в Digital Security.

«Стоит отметить, что инсталляция Oracle PeopleSoft обычно представляет собой сложную систему, состоящую из многих приложений. А это значит, что, стоит атакующему получить доступ к слабейшему компоненту, далее он сможет с легкостью проникнуть и в остальные компоненты, — сказали в Digital Security. — Выбор вектора атаки зависит от цели злоумышленника. Разные атаки могут привести к шпионажу, саботажу либо мошенничеству».

Специалисты привели несколько вариантов последствий: кража персональных данных (номеров социального страхования, паспортных данных, данных платежных карт и т. д.); умышленное искажение информации о стадиях выполнения проектов, в результате чего руководство предприятия может принять неверные решения, а также умышленное изменение информации о состоянии узлов и агрегатов, что может стать причиной аварии на производстве.


Уязвимости в Oracle PeopleSoft могут стать причиной серьезных неприятностей

Приложения PeopleSoft распространены во всем мире, но 72% их пользователей — американские компании. Oracle не предоставляет официальной статистики пользователей PeopleSoft. Согласно данным, полученным Digital Security от третьих лиц, 22% клиентской базы — это промышленные предприятия, 18% — ИТ-компании, 8% — предприятия торговли и 36% — организации в сфере образования.

Положение Oracle PeopleSoft даже хуже, чем было у SAP пять лет назад, считает Алексей Тюрин, руководитель департамента аудита информационной безопасности в Digital Security. По его словам, на рынке безопасности SAP сейчас возросла осведомленность (более сотни презентаций на конференциях за пять лет), появились специалисты, продукты и реальные примеры атак, включая недавний взлом американской государственной компании USIS. С точки зрения возможных атак ситуация с безопасностью Oracle PeopleSoft в пять раз хуже, судя только по количеству публично подтвержденных инцидентов, считает он.

Digital Security со штаб-квартирой в Москве неоднократно сообщала о нахождении уязвимостей в продуктах SAP. В 2011 г. аналитики компании обнаружили критическую уязвимость в ядре SAP, а в 2013 г. — первый троян, имеющий отношение к этой ERP-системе. Digital Security ищет «дыры» и в решениях других популярных поставщиков. Например, в ноябре 2014 г. компания сообщила ообнаруженной ею уязвимости в приложениях «Лаборатории Касперского», McAfee и Avast Software.