Oracle-PAYDAY-Angriffe setzen Tausende von Unternehmen weltweit dem Risiko von Finanzbetrug und Diebstahl aus

Die Onapsis Research Labs eng mit dem Security Response Team der Oracle Corporation zusammengearbeitet, um mehrere kritische Sicherheitslücken in der Oracle E-Business Suite (EBS) zu beheben. Die als „PAYDAY“ bezeichneten Sicherheitslücken wurden ursprünglich im Critical Patch Update (CPU) von Oracle vom April 2018 behoben, während nachfolgende Sicherheitslücken erst im CPU vom April 2019 behoben wurden.

Onapsis Research Labs , dass 21.000 oder mehr Oracle-EBS-Kunden gefährdet sein könnten, da die Sicherheitslücken in allen Versionen von Oracle EBS vorhanden sind. Da beide Sicherheitslücken einen CVSS-Wert von 9,9 aufweisen, gelten sie als hochriskant und äußerst selten – seit 2015 gab es einschließlich PAYDAY nur vier Sicherheitslücken mit einem CVSS-Wert von 9,9. Die Onapsis Research Labs gehen Onapsis Research Labs davon aus, dass es außer der Installation der Patches keine praktikablen Abhilfemaßnahmen gibt.

Die Schwere dieser Sicherheitslücke wird durch die Bedeutung von ERP-Systemen wie Oracle für die weltweite Geschäftstätigkeit deutlich: 77 % des weltweiten Umsatzes laufen irgendwann einmal über ein ERP-System, wobei die 21.000 EBS-Kunden von Oracle nur einen Teil davon ausmachen. Diese Sicherheitslücken lassen sich nur durch die Installation von Sicherheitspatches beheben. Onapsis schätzt, dass 50 % der Oracle-EBS-Kunden die Patches noch nicht installiert haben.

Im Jahr 2017 führte Oracle selbst eine Simulation einer realistischen Finanzstruktur durch, die auf einem typischen Großunternehmen basierte und auf mehr als 25 Jahren Erfahrung mit ERP-Implementierungen aufbaute. Diese Simulation ergab, dass es möglich war, 1.000.000 Zahlungen pro Stunde über 7.000.000 importierte Rechnungszeilen zu erstellen.

Die erfolgreiche Ausnutzung einer dieser Schwachstellen ermöglicht finanziellen Diebstahl und Betrug und könnte zur vollständigen control das gesamte Oracle-EBS-System führen. Über die Auswirkungen von Finanzbetrug hinaus stellen diese Schwachstellen ein erhebliches Compliance-Risiko dar. Für Unternehmen, die in den Vereinigten Staaten dem Sarbanes-Oxley-Gesetz (SOX) unterliegen, und/oder Organisationen, die der DSGVO der Europäischen Union unterliegen, müssen diese Schwachstellen umgehend behoben werden.

Onapsis Research Labs einen ausführlichen Bedrohungsbericht erstellt, der die Risiken dieser PAYDAY-Sicherheitslücken anhand von zwei möglichen Szenarien aufzeigt.

1. Böswillige Manipulation des Überweisungsprozesses durch unbefugten Zugriff (wodurch die Aufgabentrennung (SoD) und Zugriffskontrollen umgangen würden), wodurch ein Angreifer genehmigte elektronische Überweisungen (EFTs) im Oracle-EBS-System so ändern kann, dass Rechnungszahlungen auf sein Bankkonto umgeleitet werden, ohne dass dabei Spuren zurückbleiben.
2. Erstellung und Druck von genehmigten Bankschecks über den Scheckdruckprozess von Oracle EBS sowie Deaktivierung und Löschung von Audit-Protokollen, um diese Aktivitäten zu verschleiern. Die PAYDAY-Angriffsszenarien sind für Oracle-EBS-Kunden besonders wichtig, um zu verstehen, wie entscheidend Sicherheitsupdates für Oracle EBS für ihre allgemeine Sicherheitslage sein können, wenn sie nicht ordnungsgemäß implementiert werden. 

Da diese Schwachstellen durch einen nicht authentifizierten Zugriff auf Oracle EBS ausgenutzt werden können, müssen sich Unternehmen bewusst sein, dass bestehende SoD- und Zugriffskontrollen keinen ausreichenden Schutz bieten. Es ist wichtig, den aktuellen Stand der Cybersicherheit für Oracle EBS in Ihrem Unternehmen zu erfassen und die internen Beteiligten auf das Ziel der Absicherung von Oracle EBS-Anwendungen einzustimmen. Es wird außerdem empfohlen, eine umfassende Sicherheitsüberprüfung für Oracle EBS durchzuführen, um festzustellen, wo Schwachstellen und Risiken bestehen.

Die Onapsis Research Labs empfehlen Oracle-EBS-Kunden Onapsis Research Labs , das neueste Critical Patch Update (CPU) von Oracle zu installieren, um diese Sicherheitslücken zu beheben, die erst im April 2019 im Rahmen des CPU behoben wurden, darunter CVE-2019-2638 (behoben im April 2019), CVSS v3 9.9 und CVE-2019-2633 (behoben im April 2019), CVSS v3 9.9.

Die folgenden Videos zeigen zwei Beispiele für mögliche Angriffsszenarien: eines im Zusammenhang mit einer Überweisung und eines im Zusammenhang mit dem Ausdrucken eines gefälschten Schecks. Sehen Sie sich an, wie diese Schwachstellen in der Praxis ausgenutzt werden könnten, laden Sie den ausführlichen Onapsis-Bedrohungsbericht herunter und erfahren Sie über den unten stehenden Link, wie Sie gemeinsam mit Onapsis eine kostenlose Risikobewertung Ihrer Oracle-EBS-Umgebung durchführen können.

ORACLE EBS PAYDAY: BEARBEITUNG VON ÜBERWEISUNGEN

ORACLE EBS PAYDAY: DRUCKEN VON FREIGEGEBENEN SCHECKEN

Erfahren Sie hier mehr über die Sicherheitslücken in Oracle EBS PAYDAY.