Korzystasz z Oracle E-Business Suite? Lepiej upewnij się, że masz aktualną wersję.
Raport wydany przez firmę Onapsis zajmującą się cyberbezpieczeństwem, ujawnia szczegóły techniczne luk w pakiecie Oracle E-Business Suite (EBS). Grupie aplikacji CRM, ERP i SCM zaprojektowanych do automatyzacji procesów organizacyjnych.
Dwa błędy, o których mowa, nazwane „BigDebIT” i ocenione na 9,9 w skali CVSS, zostały załatane przez Oracle w ramach styczniowej aktualizacji. Firma przyznała jednak, że ok. 50% klientów EBS wciąż jej nie zainstalowało…
Według specjalistów nieautoryzowany przestępca może wykonać zautomatyzowany exploit w module General Ledger, aby “wyciągnąć” aktywa z firmy (np. gotówkę) i zmodyfikować tabele księgowe nie pozostawiając po sobie śladu.
Udane wykorzystanie tej luki może umożliwić osobie atakującej kradzież poufnych informacji, dokonanie oszustwa finansowego i wywołanie opóźnień w raportach finansowych związanych z procesami zgodności firmy (compliance).
Nowe wady, oznaczone jako CVE-2020-2586 i CVE-2020-2587, znajdują się w Oracle Human Resources Management System (HRMS), w komponencie o nazwie Hierarchy Diagrammer. Umożliwia on użytkownikom tworzenie hierarchii organizacji i pozycji związanych z przedsiębiorstwem. Luki zostać wykorzystane nawet jeśli klienci EBS wdrożyli poprzednie łatki wydane w kwietniu 2019. Dlatego tak ważne jest zainstalowanie najnowszej wersji oprogramowania.
