50% 的客户未打补丁……
该攻击链利用了两个主要漏洞,位于波士顿的网络安全公司 Onapsis 将其命名为 Oracle PAYDAY(甲骨文发薪日)。Onapsis 称,尽管甲骨文现已修复该漏洞,但估计该公司企业资源规划 (ERP) 软件客户中半数都未部署补丁:意味着超过 1 万家公司面临风险。
这些客户很多都只在内网运行该软件,但 Onapsis 估测,至少 1,500 个 EBS 直接接入互联网。若未打补丁,该漏洞可被未经身份验证的攻击者远程利用,获得此广为使用的 ERP 系统的完整访问权。
漏洞针对 EBS 产品中的一个 API——由甲骨文提供的瘦客户端框架 (TCF) API,开发人员可以此建立基于服务器的应用;CVSS 漏洞评分高达 9.9 (最高危为 10 分)。
由于甲骨文的 EBS 包含 Payments(支付)模块供公司企业从银行账户实际转账或生成支票,恶意接管该模块可对用户造成极大损害。
甲骨文公司在 2018 年发布了解决此问题的第一个关键补丁更新 (CPU),后续补丁不断放出以解决此漏洞的不同方面,包括 2019 年 4 月 CPU 中针对这两个关键漏洞 (CVE-2019-2638, CVE-2019-2633) 的最新可用补丁。
尽管 ERP 包含支付模块审计表,由于 SQL 协议允许攻击者对 APPS 用户执行任意查询,攻击者是有可能禁用并删除这些审计日志表的。Onapsis 宣称已成功创建概念验证,可用特殊构造的查询语句检测并删除审计表。
本文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理