Уязвимости в Oracle E-Business Suite подвергают бизнес-операции риску взлома

Две критические уязвимости получили оценку 9,9 балла по шкале CVSS.

Специалисты из компании Onapsis сообщили технические подробности критических уязвимостей (CVE-2020-2586 и CVE-2020-2587), получивших название BigDebIT, в интегрированной группе приложений Oracle E-Business Suite (EBS), предназначенной для автоматизации операций CRM, ERP и SCM для организаций.

Проблемы могут быть проэксплуатированы злоумышленником для атак на такие инструменты бухгалтерского учета, как Oracle General Ledger, с целью похитить конфиденциальную информацию и совершить финансовое мошенничество. По словам исследователей, «неавторизованный преступник может выполнить автоматизированный эксплоит на модуле General Ledger, чтобы похитить денежные средства компании и изменить бухгалтерские таблицы, не оставляя следов».

Как отметили эксперты, BigDebIT могут быть проэксплуатированы вместе с известными уязвимостями PAYDAY в EBS, обнаруженными Onapsis три года назад. Уязвимости содержатся в системе управления персоналом Oracle (HRMS) в компоненте Hierarchy Diagrammer, который позволяет пользователям создавать иерархии организации и положения, связанные с предприятием.

General Ledger — программное обеспечение для автоматизированной финансовой обработки, выступающее в качестве хранилища бухгалтерской информации и предлагается как часть E-Business Suite. General Ledger используется для составления корпоративных финансовых отчетов, а также для проведения аудиторских проверок в целях обеспечения соответствия требованиям Закона Сарбейнза-Оксли 2002 года.

Компания Oracle исправила уязвимости BigDebIT (получили оценку 9,9 балла по шкале CVSS) в январе нынешнего года. По словам представителей Oracle, примерно 50% клиентов Oracle EBS до сих пор не установили исправления.