Die Oracle-CPU im April behebt kritische Fehler, die von Onapsis gemeldet wurden

Fortsetzung der letzten Woche OAUG-Kollaborationskonferenz in San Antonio hat Oracle seine veröffentlicht Kritisches Patch-Update (CPU) für das zweite Quartal und es ist eine große Sache. Für diejenigen unter Ihnen, die bei Collaborate mit uns zusammengearbeitet haben, wo wir immer wieder betont haben, wie wichtig es ist, mit Patches Schritt zu halten, ist es jetzt an der Zeit, unseren Rat in die Praxis umzusetzen. Und für diejenigen, die es nicht zu Collaborate geschafft haben, empfehlen wir Ihnen, die von uns gehaltene Präsentation herunterzuladen: „So implementieren Sie kritische Oracle-Patch-Updates für EBS"

Die neueste CPU, die am Dienstag, dem 16. April, veröffentlicht wurde, enthält drei von den Onapsis Research Labs gemeldete CVEs, von denen zwei ein haben HOCH CVSS von 8.1, der sich auf WebLogic (CVE-2019-2568) und Oracle General Ledger (CVE-2019-2638) auswirkt, und der andere hat einen CVSS von 5.1, der sich auf Oracle Work in Process (CVE-2019-2633) auswirkt.

Beide von Onapsis gemeldeten kritischen Schwachstellen betreffen eine Schlüsselkomponente, die standardmäßig in jedem Oracle E-Business Suite (EBS)-System aktiv ist, das sogenannte Thin Client Framework (TCF). Im Rahmen dieser CPU-Beratung könnten zwei kritische SQL-Injection-Schwachstellen, die zuvor hätten behoben werden müssen, dazu führen, dass ein Angreifer die volle Kontrolle über die Datenbank und den gesamten Oracle EBS-Stack übernimmt.

Ein Angriff nutzt das betroffene Protokoll zur Instanziierung von Java-Klassen, was durch das Einschleusen beliebiger SQL-Abfragen missbraucht werden kann. Beide Schwachstellen könnten aus der Ferne ausgenutzt werden und könnte je nach EBS-Version von einem nicht authentifizierten Angreifer ausgenutzt werden (wenn das System nicht über diese Funktion verfügt). CPU vom April 2018). Bei beiden Schwachstellen handelt es sich um Arbitrary SQL Injection und eine davon beinhaltet auch eine unsichere Objektdeserialisierung. Durch die Kontrolle der Objektattribute könnte ein böswilliger Benutzer SQL-Anweisungen einschleusen, um benutzerdefinierte Abfragen in der Datenbank auszuführen.

Bei erfolgreicher Ausnutzung könnte ein Angreifer einige der folgenden Aktionen auf dem betroffenen System ausführen:

  • Führen Sie beliebige SQL-Abfragen aus
  • Ändern Sie Benutzerkennwörter, einschließlich Systemadministrator
  • Erhalten Sie alle Benutzer und, falls nicht gehasht, ihr Passwort, indem Sie sie entschlüsseln
  • Erhalten Sie das Benutzerkennwort für die APPS-Datenbank
  • Erhalten Sie vertrauliche Informationen aus bekannten Datenbanktabellen
  • Betriebssystembefehle ausführen

Im schlimmsten Fall kann ein böswilliger Benutzer die vollständige Kontrolle über das EBS-System erlangen, wenn die Schwachstellen ausgenutzt werden, um das SYSADMIN-Passwort festzulegen. Erschwerend kommt hinzu, dass durch die Erstellung benutzerdefinierter Prozeduren Betriebssystembefehle mit dem EBS-Betriebssystembenutzer ausgeführt werden können, der über hohe Berechtigungen verfügt und sich auf den gesamten Server des Unternehmens auswirken könnte.

Da in der Datenbank alle kritischen Geschäftsdaten gespeichert sind, bedeutet die Ausführung beliebigen SQL-Codes mit hohen Privilegien (APPS-Datenbankbenutzer) durch einen nicht authentifizierten Benutzer (oder im Fall der neuesten EBS-Versionen einen Benutzer mit niedrigen Privilegien) die größte Gefährdung wichtige Informationen in einem Unternehmen. Aus diesem Grund, Diese Schwachstellen können als äußerst kritisch angesehen werden und sollten behoben werden, sobald der Fix verfügbar ist.

Zusätzliche CPU-Details für April

Diese CPU enthält 297 neue Korrekturen von Sicherheitslücken für mehrere Oracle-Produkte, von denen 35 Oracle EBS betreffen. Zu den anderen geschäftskritischen Anwendungen, die von den in dieser CPU behobenen Schwachstellen betroffen sind, gehören unter anderem Oracle Applications Framework, Oracle CRM Technical Foundation und Oracle General Ledger.

EBS ist die am weitesten verbreitete Enterprise Resource Planning (ERP)-Lösung von Oracle. Bei dieser CPU empfiehlt Oracle den Kunden, die Sicherheitspatches für alle Technologie-Stack-Komponenten in Oracle EBS anzuwenden, einschließlich Datenbank und Oracle Fusion Middleware. Insgesamt gibt es 99 Schwachstellen, die diese Plattform betreffen:

  • 6 für die Datenbank (eine dieser Schwachstellen kann ohne Authentifizierung aus der Ferne ausgenutzt werden)
  • 53 für Oracle Fusion Middleware (42 aus der Ferne ohne Authentifizierung ausnutzbar)
  • 5 für Java (Alle ohne Authentifizierung aus der Ferne ausnutzbar)     
  • 35 für Oracle EBS (33 aus der Ferne ohne Authentifizierung ausnutzbar)

Für Oracle EBS beträgt der mit CVSS v3.0 am höchsten bewertete CVE 8.2 in fast 11 Produkten im gesamten Stack. Einer der kritischeren Patches (CVE-2019-2665) ist in 11 Produkten vorhanden und seine Auswirkungen werden im Oracle-Bericht beschrieben:

„Die leicht ausnutzbare Schwachstelle ermöglicht es nicht authentifizierten Angreifern mit Netzwerkzugriff über HTTP, Oracle Common Applications zu gefährden. Erfolgreiche Angriffe erfordern die menschliche Interaktion einer anderen Person als des Angreifers, und obwohl die Schwachstelle in Oracle Common Applications liegt, können Angriffe erhebliche Auswirkungen auf weitere Produkte haben. Erfolgreiche Angriffe auf diese Schwachstelle können zu unbefugtem Zugriff auf kritische Daten oder vollständigem Zugriff auf alle von Oracle Common Applications zugänglichen Daten sowie zu unbefugtem Aktualisierungs-, Einfüge- oder Löschzugriff auf einige von Oracle Common Applications zugängliche Daten führen.“

Sie müssen sich darüber im Klaren sein, dass alle 35 Schwachstellen in dieser CPU Oracle EBS in allen Versionen von 12.1 bis 12.2.8 direkt betreffen. Das bedeutet, dass es nicht ausreicht, die neueste Version zur Verfügung zu haben, sondern Sie müssen immer auch die CPU in Ihrem Stack installieren. 
Eine Erinnerung daran, dass die nächste CPU am 16. Juli 2019 veröffentlicht wird, sodass Sie Zeit haben, diese CPU vor diesem Datum zu implementieren und zu testen. Um diese CPU für Oracle EBS zu implementieren, können Sie diese verwenden Schritt-für-Schritt-Anleitung zur Implementierung kritischer Oracle Patch-Updates.

Darüber hinaus bieten wir eine ergänzende Bewertung namens Business Risk Illustration (BRI) an, bei der wir Ihre Oracle EBS-Systeme bewerten, um Ihnen zu zeigen, wo Sie anfällig und gefährdet sind. Es zeigt den Wert, den Onapsis durch die Automatisierung der kontinuierlichen Überwachung von Oracle EBS bietet, um verwertbare Informationen zu liefern, die es Ihnen ermöglichen, die Behebung von Schwachstellen zu priorisieren. Sprechen Sie noch heute mit uns, um Ihren BRI zu planen.

Bleiben Sie auf dem Laufenden in unserem Blog, denn wir versorgen Sie weiterhin mit weiteren Informationen und Best Practices für die Oracle EBS-Sicherheit.