Onapsis veröffentlicht 12 Sicherheitshinweise für geschäftskritische Oracle-Anwendungen

Von:

28. Juli 2016

Heute haben wir12 neue Sicherheitshinweise für Oracle-Anwendungenveröffentlicht, die zwei verschiedene Produkte betreffen:Oracle E-Business Suite und JD Edwards.DieSicherheitshinweisebeziehen sich auf verschiedene Arten von Sicherheitslücken, darunter Cross-Site-Scripting, Denial-of-Service, Passwortoffenlegung und die Erstellung von Benutzerkonten. Nach dem großen Erfolg bei der Aufdeckung von Hunderten von Sicherheitslücken in SAP-Systemen erweitern unsere Forschungslabore nun ihre security advisories Oracle-Produkte.

E-Business Suite

Dies ist die erste Reihe von Sicherheitshinweisen, die wir im Zusammenhang mit der Oracle E-Business Suite veröffentlicht haben. Als zentrale Unternehmensanwendung verwaltet die E-Business Suite kritische Informationen wie Finanz-, Personal- und Kundendaten. Je mehr Anwendungen der Suite ein Unternehmen nutzt und je größer die Implementierungen sind, desto mehr Benutzer haben Zugriff auf das System und nutzen es tatsächlich. Alle Sicherheitslücken dieses Produkts betreffen Cross-Site-Scripting-Angriffe (XSS) in verschiedenen Java Server Page (JSP)-Komponenten und wurden imCritical Patch Update von Oraclevom April 2016 behoben.

Diese sechs Sicherheitshinweise sind die ersten von Dutzenden, die zu XSS-Schwachstellen veröffentlicht werden, die wir Oracle für die E-Business Suite gemeldet haben. Da es sich um einen clientseitigen Angriff handelt, bei dem der Code auf dem Rechner des Endnutzers ausgeführt wird, können Cross-Site-Scripting-Angriffe ein erhöhtes Risiko darstellen, da immer mehr Nutzer auf das System zugreifen.

Hier finden Sie eine vollständige Liste der Sicherheitshinweise mit den zugehörigen CVE-Kennungen:

  • CVE-2016-3439: Die Sicherheitslücke besteht in der JSP-Datei „jtfwcall“. Der URL-Parameter „areacode“ wird nicht bereinigt.
  • CVE-2016-3439: Die Sicherheitslücke besteht in der JSP-Datei „jtfwcall“. Der URL-Parameter „phonenum“ wird nicht bereinigt.
  • CVE-2016-3439: Die Sicherheitslücke besteht in der JSP-Datei „jtfwcall“. Der URL-Parameter „title“ wird nicht bereinigt.
  • CVE-2016-3436: Die Sicherheitslücke besteht in der JSP-Datei „jtfLOVInProcess“. Auf dieser Seite können beliebige URL-Parameter übergeben werden. Beispielsweise werden der Parameter „test“ und dessen Inhalt nicht ordnungsgemäß bereinigt.
  • CVE-2016-3437: Die Sicherheitslücke besteht in der JSP-Datei „jtfwtpoa“. Der URL-Parameter „state“ wird nicht ordnungsgemäß bereinigt.
  • CVE-2016-3438: Die Sicherheitslücke besteht in der JSP-Datei „czJradHeartBeat“. Der URL-Parameter „appletpost“ wird nicht bereinigt.

JD Edwards

Die übrigen sechs Sicherheitshinweise beziehen sich auf JD Edwards – einige davon stehen im Zusammenhang mit dem JDENet-Protokoll, andere mit dem Server Manager.

JDENet ist eine Netzwerk-Kommunikations-Middleware, die die Netzwerkkommunikation zwischen Workstations und Servern sowie zwischen Servern untereinander übernimmt. Sie dient dazu, Remote-Funktionen aufzurufen, Benutzer zu authentifizieren sowie Informationen zwischen Hosts innerhalb einer JD Edwards-Umgebung zu übertragen. Der Server Manager ist der Server, der für die Verwaltung aller JDE-Server zuständig ist. Der Server Manager nutzt die Java Management Extensions (JMX)-Technologie, um über einen Agenten eine Verbindung zu allen JD Edwards-Servern herzustellen. Diese Technologie basiert auf Managed Beans und dem Standardprotokoll Remote Method Invocation (RMI).

Nachfolgend sind alle Sicherheitslücken in JD Edwards aufgeführt, die imCritical Patch Update vom Januar 2016 behoben wurden, sowie eine technische Beschreibung der wichtigsten davon:

  • CVE-2016-0422: Diese Sicherheitslücke besteht in der Methode „getIniSetting“. Ein Angreifer könnte sie ausnutzen, um ohne Authentifizierung Informationen aus der Datei „JDE.INI“ abzurufen. Beispielsweise den Parameter „password“ im Abschnitt „Security“. Diese Methode verwendet vier Parameter: Host, Port, Abschnitt und Parametername:jde_1.jpg

    Der folgende Screenshot zeigt ein reales Szenario, in dem ein Angreifer das Administratorkennwort erlangen und damit Zugriff auf die JDE-Anwendung und die JDE-Datenbank erhalten könnte. Die folgende Abbildung zeigt ein Beispiel für die Datei „JDE.INI“; je nach JDE-Version ist das Kennwort im Klartext oder verschlüsselt hinterlegt.

    jde_2.png

    Ein Angreifer könnte mithilfe eines Skripts Informationen aus der Datei „JDE.INI“ abrufen, beispielsweise Benutzername und Passwort.

    jde3.png

    Diese Sicherheitslücke beeinträchtigt die Vertraulichkeit und Integrität in JD Edwards-Anwendungen in vollem Umfang, und der Angreifer könnte zudem die Verfügbarkeit gefährden.

    Um diese Sicherheitslücke zu beheben, installieren Sie das „Critical Patch Update“ vom Januar 2016 und richten Sie Firewall-Einschränkungen für die JDENet-Ports ein.

  • CVE-2016-0424: Diese Sicherheitslücke kann ausgenutzt werden, wenn jemand im Netzwerk eine JdeMsg mit dem Typ 8 sendet; der Enterprise Server beendet daraufhin automatisch die JDENet-Listening-Prozesse, ohne dass control Authentifizierung stattfindet.

    JdeMsg msg = new JdeMsg(8, 1, 0);

    Nachdem die Nachricht gesendet wurde, konnte jeder Benutzer mit der JD Edwards-Anwendung interagieren oder sich dort anmelden. Im Folgenden wird ein reales Szenario mit einem JDE-Herunterfahren beschrieben.

    jde4.png

    jde5.png

    jde6.png

    Diese Sicherheitslücke beeinträchtigt die Verfügbarkeit erheblich. Nach einem erfolgreichen Angriff müssen alle Server mit Ausnahme der Datenbank manuell neu gestartet werden. Wenn der Angreifer ein Skript so programmiert, dass es den Server herunterfährt, sobald dieser wieder läuft, könnte dies für ein Unternehmen zu einem großen Problem werden. Denn dies führt zu weiteren Ausfallzeiten und erfordert einen hohen manuellen Aufwand zur Behebung des Problems.

    Um diese Sicherheitslücke zu beheben, installieren Sie das „Critical Patch Update“ vom Januar 2016 und richten Sie Firewall-Einschränkungen für die JDENet-Ports ein.

  • CVE-2016-0421: Der Server Manager nutzt die Java Management Extensions (JMX)-Technologie, um eine Verbindung zu allen JD Edwards-Servern mit einem Agenten herzustellen. Diese Technologie verwendet Managed Beans und das Standardprotokoll Remote Method Invocation (RMI). Die Sicherheitslücke kann durch den Aufruf der Methode „shutdown“ ausgelöst werden.
  • CVE-2016-0420 Diese Sicherheitslücke kann ausgenutzt werden, indem die Methoden „addLocalUser“ und „grantUserRole“ aufgerufen werden, um einen Benutzer und ein Passwort anzulegen sowie Rollen zuzuweisen. Mit diesem neuen Benutzer ist es möglich, sich beim Server-Manager anzumelden und alle Server zu verwalten.
  • CVE-2016-0425: Diese Sicherheitslücke könnte ausgenutzt werden, indem die Methode „getEncryptedPasswordForUser“ ohne jeglichen Authentifizierungsmechanismus aufgerufen und dazu verwendet wird, das verschlüsselte
  • CVE-2016-0423: Diese Sicherheitslücke könnte durch das Senden einer Nachricht mit zwei Dateiende-Paketen ausgenutzt werden. Der Enterprise Server wird automatisch heruntergefahren, ohne dass control Authentifizierung erforderlich ist.

Alle in diesem Beitrag erwähnten Sicherheitshinweise könnenhier heruntergeladen werden. Wie immer steht für alle von uns veröffentlichten Sicherheitshinweise ein Patch zur Verfügung, damit Ihre Systeme auf dem neuesten Stand sind und umfassend vor Cyberangriffen geschützt sind.

 

Stichworte, , ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen