Oracle-CPU-Analyse für Juli: Onapsis hilft bei der Behebung einer kritischen Sicherheitslücke in der E-Business Suite

Von:

18. Juli 2017

Als Sicherheitsanbieter und Forschungslabor, dessen Ziel es ist, die geschäftskritischen Anwendungen unserer Kunden zu schützen, ist es uns ein ständiges Anliegen, die Community proaktiv über neue Bedrohungen zu informieren, die ihre kritischen Anwendungen betreffen. Ein wesentlicher Teil davon ist unsere kontinuierliche Zusammenarbeit mit Anbietern, um ihnen dabei zu helfen, Schwachstellen in ihrer Software zu beheben. Heute bricht das Oracle Critical Patch Update vom Juli 2017 zum dritten Mal einen Rekord bei der Anzahl der behobenen Fehler mit 308 behobenen Schwachstellen. Darüber hinaus meldete Onapsis die Hälfte der behobenen Schwachstellen in der E-Business Suite (11 von 22), darunter eine Schwachstelle mit hohem Risiko, die es einem nicht authentifizierten Angreifer aus der Ferne ermöglicht, Dokumente aus der Datenbank herunterzuladen.

Angesichts der Schwere dieses speziellen Fehlers haben wir einen speziellen Bedrohungsbericht veröffentlicht, um der Community ein tieferes Verständnis der potenziellen geschäftlichen Auswirkungen zu vermitteln. Im heutigen Blogbeitrag erläutern wir jede weitere von Onapsis Research Labs gemeldete Sicherheitslücke, die geschäftlichen Auswirkungen sowie die Bedeutung der Installation des Patches aus dem „Critical Patch Update“-Bericht.

Bedrohungsbericht: Unbefugte Entwendung von Geschäftsdokumenten

Im April 2017 Onapsis Research Labs zahlreiche Sicherheitslücken, die Anwendungen der Oracle E-Business Suite betrafen, und meldete diese an Oracle. Eine dieser Sicherheitslücken ist eine kritische Sicherheitslücke(CVE-2017-10244). Die Sicherheitslücke ermöglicht es Angreifern, sensible Geschäftsdaten zu entwenden, ohne dass sie über ein gültiges Benutzerkonto im System verfügen müssen.

Die betroffene Komponente ermöglicht es Benutzern, Dokumente herunterzuladen, die seit der Einführung des Systems von Benutzern in den verschiedenen Modulen der E-Business Suite angehängt wurden. Die Dokumente können unterschiedliche Formate haben, beispielsweise Textdateien (.DOC), Tabellenkalkulationen (.XLS), PDF-Dateien oder andere Dateitypen.

Dieser Sicherheitsbericht soll Oracle-EBS-Kunden dabei helfen, diese kritische Sicherheitslücke zu verstehen und ihre Systeme davor zu schützen. Es wird dringend empfohlen, das Problem so schnell wie möglich zu beheben, da ein nicht authentifizierter Angreifer aus der Ferne Zugriff auf beliebige und vertrauliche Dokumente erhalten könnte, die im System gespeichert sind.

Ein Angreifer kann Dokumente herunterladen, ohne einen Authentifizierungsprozess im System durchlaufen zu müssen. Dies ist einer der Hauptgründe für das hohe Risiko, das von dieser Sicherheitslücke ausgeht, da die betroffene Komponente in der Regel sensible Unternehmensdaten wie Rechnungen, Lebensläufe von Bewerbern, Konstruktionsunterlagen, Kundeninformationen und Finanzberichte speichert und möglicherweise sogar personenbezogene Daten enthält.

Alle unterstützten Versionen der Oracle E-Business Suite sind betroffen: 12.1.3, 12.2.3, 12.2.4, 12.2.5 und 12.2.6. Jeder Kunde, der eine anfällige Version nutzt und den Patch noch nicht installiert hat, ist diesem Angriff ausgesetzt.

Schließlich könnte die Offenlegung dieser Dokumente – je nach Branche – zu kostspieligen Verstößen gegen Compliance-Vorschriften wie SOX, PCI-DSS, NIST, Datenschutzgesetze zu personenbezogenen Daten (PII) und SPI führen, um nur einige zu nennen.

Laden Sie den vollständigen Bericht herunter, um weitere Einzelheiten und Informationen zu Abhilfemaßnahmen für diese Sicherheitslücke zu erhalten. „Die Sicherheitslücke in der Oracle E-Business Suite, die eine unbefugte Exfiltration von Geschäftsdaten ermöglicht, im Überblick“

Sicherheitslücken, die die Oracle E-Business Suite betreffen

11 der 22 Patches beheben Sicherheitslücken, die ursprünglich von den Onapsis Research Labs gemeldet wurden. Sehen wir uns die weiteren Sicherheitslücken einmal genauer an und ergänzen wir sie mit Hintergrundinformationen und weiteren Details.

Zunächst einmal gibt es eine Path-Traversal-Schwachstelle(CVE-2017-10192), die es einem Angreifer ermöglicht, auf verschiedene Dateien des Betriebssystems zuzugreifen, wie in der folgenden Abbildung dargestellt:

Grafik 1 Juli EBS-Blog

Ein Angreifer könnte diese Sicherheitslücke ausnutzen, um Informationen wie Systemkonfigurationen zu erlangen, und diese in Verbindung mit anderen Sicherheitslücken nutzen, um das betroffene System anzugreifen.

Die durch die CVS-Nummern CVE-2017-10184 und CVE-2017-10186 identifizierten Sicherheitslücken (die eigentlich mehrere Schwachstellen umfassen) ermöglichen es nicht authentifizierten Angreifern, beliebige Betriebssystemdateien abzurufen. Diese Sicherheitslücken sind auch Path-Traversal-Angriffe -Angriffe.

Es gibt außerdem zwei Denial-of-Service-Schwachstellen . CVE-2017-10108 betrifft OpenJDK. Bei der Deserialisierung eines speziell gestalteten Objekts könnte ein Angreifer den gesamten Heap-Speicher des Prozesses belegen und so eine OutOfMemoryError-Ausnahme auslösen. Die Schwachstelle besteht, weil die Klasse eine readObject-Methode ohne Sanitisierung implementiert. CVE-2017-10109 ähnelt der vorherigen, betrifft jedoch eine andere Java-Klasse.

CVE-2017-10180 ist eine Mehrfach-Cross-Site-Scripting-Sicherheitslücke, die zwei verschiedene Fehler mit derselben ID behebt. Sie gilt als Mehrfach-Sicherheitslücke, da es mehr als einen Parameter gibt, den ein Angreifer nutzen könnte, um einen bereits authentifizierten Benutzer dazu zu verleiten, beliebigen JavaScript-Code auszuführen. Im Folgenden wird ein Beispiel dafür gegeben, wie ein Angreifer die authentifizierte Sitzung nutzen könnte, um seinen JavaScript-Code auszuführen. Dies ist nur ein Beispiel; ein Angreifer könnte jedoch komplexeren und schädlicheren JavaScript-Code ausführen.

cpu_blog_chart2

Darüber hinaus gibt es zwei Cross-Site-Scripting-Schwachstellen-Schwachstellen behoben, die von Onapsis-Forschern gemeldet wurden: CVE-2017-10185 und CVE-2017-10191.

Schließlich ist CVE-2017-10245 eine Sicherheitslücke in einem bestimmten Servlet, die es einem nicht authentifizierten Angreifer ermöglicht, eine Konfigurationsdatei namens DBC abzurufen, die technische Informationen enthalten könnte, die ein Angreifer während der Kompromittierung des Systems ausnutzen könnte.

Zusammenfassung der geschäftskritischen Anwendungen für die CPU

Die heute veröffentlichten 308 Sicherheitslücken betreffen 22 verschiedene Oracle-Produkte, wobei es sich bei 64 % dieser Produkte um geschäftskritische Anwendungen handelt. Die folgende Grafik fasst die von diesem CPU betroffenen geschäftskritischen Oracle-Anwendungen zusammen, wobei die Balken den CVSS-Durchschnitt für jedes Produkt darstellen, die Zahlen die Anzahl der Sicherheitslücken und der Punkt den maximalen CVSS-Wert:

cpu_chart3

Zusammenfassend lässt sich sagen: Es ist ganz offensichtlich, dass Oracle die Sicherheit seiner Produkte kontinuierlich verbessert, indem es bei jedem CPU-Release Hunderte von Sicherheitslücken behebt – und diese Zahl steigt weiter an. Es gibt verschiedene Sicherheitslücken, die ein Angreifer ausnutzen könnte, um das System zu kompromittieren und an geschäftskritische Informationen zu gelangen. Es ist daher von entscheidender Bedeutung, die Oracle E-Business Suite mit dem neuesten Patch zu aktualisieren, um all diese Sicherheitslücken zu schließen und das System auf dem neuesten Stand zu halten.

Wie wird das System gepatcht? Um das System zu patchen, lesen Sie das Oracle E-Business Suite Release 12 Critical Patch Update Knowledge Document und implementieren Sie den Patch mit adop oder adpatch:

Für jedes Critical Patch Update für EBS stellt Oracle zwei Patches bereit, einen für die Version 12.1 und einen für die Version 12.2. Kunden müssen die Datei herunterladen, die der installierten Version entspricht.

Denken Sie daran, dass Sie unseren Bedrohungsbericht lesen und unseren Blog im Auge behalten können, wo wir weiterhin Tipps und Informationen dazu veröffentlichen, wie Sie Ihre EBS-Systeme schützen können. Die nächste CPU ist für Oktober geplant, und wie immer werden wir unsere Zusammenfassung veröffentlichen, um Sie so schnell wie möglich auf dem Laufenden zu halten.

  • p25982921_12.1.0_R12_LINUX.zip für die Version 12.1
  • „p25982922_12.2.0_R12_LINUX.zip“ für die Version 12.2
Stichworte, ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen