Oracle-CPU-Analyse Januar 2020: Oracle behebt eine kritische Sicherheitslücke, die zu Finanzbetrug führen kann

Heute hat Oracle das erste Critical Patch Update des Jahres veröffentlicht, das 334 neue Sicherheitspatches sowie insgesamt 23 Patches für die Oracle E-Business Suite (EBS) enthält, eine der weltweit am häufigsten genutzten ERP-Softwarelösungen. Unter diesen Korrekturen wurden die beiden kritischsten von Onapsis Research Labs gemeldet Onapsis Research Labs stehen im Zusammenhang mit den bereits bekannten PAYDAY-Schwachstellen, die wir vor einigen Monaten in einem öffentlichen Bericht erläutert haben. Mit diesen neuen Patches ist jeder EBS-Kunde, der das CPU vom Januar nicht installiert, anfällig für diesen schwerwiegenden Angriff, der das System kompromittieren und zu Finanzbetrug oder einer direkten Störung des Geschäftsbetriebs führen kann. Das letzte Mal, dass Oracle Fehler im Zusammenhang mit diesem Angriff behoben hat, war im April 2019 (und das erste Mal ein Jahr zuvor). Lassen Sie uns daher zusammenfassen, warum die PAYDAY-Schwachstellen relevant sind und so schnell wie möglich behoben werden müssen, und anschließend werden wir einige weitere Details und Statistiken zum CPU dieses Monats betrachten.

Der „PAYDAY Threat Report“ wurde im November 2019 von Onapsis veröffentlicht und beschreibt eine Reihe von Sicherheitslücken, Onapsis Research Labs im Jahr 2017 an Oracle gemeldet hatte und die sich alle auf die TCF-Komponente bezogen. Oracle begann im April 2018 mit der Behebung dieser Sicherheitslücken, und nachfolgende CPUs enthielten Korrekturen für die anderen gemeldeten Fehler, sodass alle ursprünglichen Meldungen bis April 2019 abgeschlossen waren. Wie bereits erwähnt, veröffentlichte Onapsis im November den Threat Report, in dem die Auswirkungen dieser Fehler erläutert werden und wie sie von einem Angreifer für Finanzbetrug ausgenutzt werden können.

Dennoch stellten die Forscher von Onapsis fest, dass es weitere Angriffsvektoren gab, über die dieselbe Schwachstelle auch dann ausgenutzt werden konnte, wenn die Kunden die Sicherheitspatches vom April 2019 installiert hatten, und meldeten dies Oracle, das heute diese beiden neuen Schwachstellen (CVSS-2020-2586 und CVSS-2020-2587) behebt, die beide mit einem CVSS-Score von 9,9 bewertet wurden (wie auch die zuvor im Bedrohungsbericht beschriebenen). Der Unterschied besteht darin, dass mit diesen Patches bestätigt wird, dass selbst auf dem neuesten Stand befindliche Systeme für diese Angriffe anfällig sind und daher die Installation des Januar-CPU priorisiert werden muss. Oracle erklärt in seiner Mitteilung zudem, dass, obwohl die Schwachstellen in den Oracle Human Resources-Modulen (Komponente „Hierarchy Diagrammers“) gefunden wurden, „Angriffe erhebliche Auswirkungen auf weitere Produkte haben können“, wie dies bei den im Bericht beschriebenen Beispielen für Finanzbetrug der Fall ist, beispielsweise die Möglichkeit für den Angreifer, betrügerische Überweisungen zu veranlassen oder direkt gefälschte Schecks auszudrucken, wie im folgenden Video zu sehen ist:

ORACLE EBS PAYDAY: BEARBEITUNG VON ÜBERWEISUNGEN

ORACLE EBS PAYDAY: DRUCKEN VON FREIGEGEBENEN SCHECKEN

Erfahren Sie hier mehr über die Sicherheitslücken in Oracle EBS PAYDAY.

Dennoch handelt es sich hierbei lediglich um Beispiele für kritische Angriffe. Wenn ein Angreifer diese Schwachstellen erfolgreich ausnutzt, können die Angriffsszenarien variieren und unter anderem zu einer erheblichen Beeinträchtigung der Verfügbarkeit, Integrität oder Vertraulichkeit der Informationen führen. Alle unterstützten Versionen sind von diesen Patches betroffen: 12.1.1–12.1.3 und 12.2.3–12.2.9. Für Kunden, bei denen alle Patches auf dem neuesten Stand sind (einschließlich des CPU vom Oktober 2019), kann dieser Angriff mit Konten mit geringen Berechtigungen ausgeführt werden. Wenn Sie jedoch in letzter Zeit (vor Oktober 2018) keine Patches installiert haben oder einige Änderungen rückgängig gemacht haben, um Störungen bestimmter TCF-Protokollfunktionen zu vermeiden, kann dieser Angriff in einigen Fällen von nicht authentifizierten Angreifern ausgeführt werden.

Wenn Sie den vollständigen PAYDAY-Bericht lesen möchten, finden Sie weitere Informationen auf der folgenden Webseite:
https://onapsis.com/oracle-payday-vulnerabilities

Weitere Informationen zur CPU

In diesem CPU empfiehlt Oracle den Kunden, die Sicherheitspatches für die Komponenten des Technologie-Stacks in der Oracle E-Business Suite, einschließlich der Datenbank und der Oracle Fusion Middleware, zu installieren. Insgesamt gibt es 85 Sicherheitslücken, die diese platform betreffen: 
12 für die Datenbank (3 dieser Schwachstellen können ohne Authentifizierung aus der Ferne ausgenutzt werden)
38 für Oracle Fusion Middleware (30 dieser Schwachstellen können ohne Authentifizierung aus der Ferne ausgenutzt werden)
12 für Java (Alle diese Schwachstellen können ohne Authentifizierung aus der Ferne ausgenutzt werden)
23 für Komponenten des Technologie-Stacks der Oracle E-Business Suite (21 dieser Schwachstellen können ohne Authentifizierung aus der Ferne ausgenutzt werden)

Beachten Sie, dass alle 85 Sicherheitslücken in diesem CPU die Oracle E-Business Suite direkt betreffen, und zwar in allen Versionen von EBS 12.1 bis 12.2.9. Das bedeutet, dass es nicht ausreicht, nur die neueste Version zu nutzen; Sie müssen auch immer das CPU in Ihrer Umgebung installieren. Vergessen Sie nicht die WebLogic-CPU – sie ist genauso wichtig wie die Datenbank- und die EBS-CPU. Ein erfolgreicher Angriff auf einige der Schwachstellen in WebLogic kann Zugriff auf den WebLogic-Server verschaffen, und dieser Server ist identisch mit dem EBS-Server.

Es ist erwähnenswert, dass die beiden von Onapsis Research Labs gemeldeten kritischen Sicherheitslücken die einzigen Onapsis Research Labs , die einen CVSS-Score von 9,9 aufweisen – den höchsten Wert dieser CPU. Unser Team ist ständig auf der Suche nach Sicherheitslücken und wir versuchen, den Schwerpunkt auf kritische Sicherheitslücken zu legen, wie es in diesem Fall der Fall ist.

Abschließend möchten wir Sie daran erinnern, dass das nächste CPU am 14. April 2020 veröffentlicht wird. Sie haben also noch Zeit, dieses CPU vor diesem Datum zu implementieren und zu testen, auch wenn wir Ihnen aufgrund der darin enthaltenen kritischen Patches empfehlen, der Implementierung Priorität einzuräumen. Zur Implementierung dieses CPU für Oracle EBS können Sie diese Schritt-für-Schritt-Anleitung zur Implementierung von Oracle Critical Patch Updates verwenden.

Denken Sie außerdem daran, dass wir eine kostenlose Analyse namens „Business Risk Illustration“ (BRI) anbieten, bei der wir assess Oracle-EBS-Systeme anhand von mehr als 200 Prüfpunkten assess , um Ihnen aufzuzeigen, wo Schwachstellen und Risiken bestehen. Dies verdeutlicht den Mehrwert, den Onapsis durch die Automatisierung der kontinuierlichen Überwachung von Oracle EBS bietet, um umsetzbare Erkenntnisse zu liefern, die es Ihnen ermöglichen, die Behebung von Schwachstellen zu priorisieren. Sprechen Sie noch heute mit uns, um Ihren BRI-Termin zu vereinbaren.

Bleiben Sie auf unserem Blog auf dem Laufenden, denn wir werden Sie weiterhin mit weiteren Informationen und bewährten Verfahren zur Sicherheit von Oracle EBS versorgen.