Die CPU-Patches von Oracle vom Juli 2019 beheben drei kritische Sicherheitslücken in der E-Business Suite, die von Onapsis gemeldet wurden

Sechs der insgesamt 13 von Onapsis gemeldeten EBS-Sicherheitslücken. Vier davon betreffen Oracle Payments.

In diesem Blogbeitrag behandeln wir folgende Themen:

• Vier kritische Fehler im Zahlungsmodul, gemeldet von Onapsis.
  • Diese kritischen Sicherheitslücken gefährden sensible Daten wie Kreditkarten- oder Bankkontodaten sowie weitere vertrauliche Informationen, die möglicherweise in der Datenbank gespeichert sind
• Uneingeschränkter Upload in EBS Payments.
  • Dieser Exploit ermöglicht es einem Angreifer, Dateien aus der Ferne zu überschreiben, was möglicherweise zur Ausführung von Remote-Code und/oder zu einem DoS-Angriff in EBS führen kann
• Von Onapsis gemeldete Fehler im Bereich „Sonstige Zahlungen“.
  • Onapsis meldete drei weitere Sicherheitslücken
• Kritische, reflektierte Server-Side Request Forgery.
  • Bei Ausnutzung dieser Schwachstelle könnte der Angreifer einen DoS-Angriff durchführen oder ein Java-Applet in der kontrollierten Antwort nutzen, um den Browser des Opfers und dessen E-Business Suite (EBS)-Sitzung zu kompromittieren
• Weitere von Onapsis gemeldete Fehler.
  • Eine weitere Sicherheitslücke, die zu einem clientseitigen Angriff führt: Sobald die Sitzung gestohlen wurde, hat der Angreifer Zugriff auf das EBS-System
• Die wichtigsten Punkte des Oracle CPU vom Juli.
  • Oracles dritte CPU-Veröffentlichung in diesem Jahr umfasst 319 Patches für 25 verschiedene Produkte, darunter 13 Patches für EBS

Heute hat Oracle sein vierteljährliches Critical Patch Update für Juli 2019 veröffentlicht, das mehrere Sicherheitskorrekturen für Schwachstellen enthält, die von den Onapsis Research Labs gemeldet wurden. Von den sechs verschiedenen Patches, die ursprünglich von unserem Team gemeldet wurden, beheben drei davon kritische Schwachstellen in der Oracle E-Business Suite (EBS), die von Onapsis in den letzten Jahren eingehend untersucht wurde. Onapsis hat fast die Hälfte der in diesem CPU behobenen Fehler in EBS gemeldet, da wir weiterhin die größten ERP-Anbieter der Welt dabei unterstützen, Sicherheitslücken zu schließen, bevor Angreifer sie ausnutzen können.

Vier der von Onapsis gemeldeten Sicherheitslücken wurden im EBS-Zahlungsmodul entdeckt, in dem sensible Daten wie Kreditkarten- und/oder Bankkontodaten gespeichert sind. Eine erfolgreiche Ausnutzung dieser Schwachstellen könnte einem Angreifer drei kritische Szenarien ermöglichen, die die Integrität, Vertraulichkeit und Verfügbarkeit von EBS gefährden: die Ausführung von Remote-Code auf dem Server, die Ausführung von Remote-Code auf dem Client sowie einen Denial-of-Service-Angriff.

Vier kritische Fehler im Zahlungsmodul, gemeldet von Onapsis
Das Zahlungsmodul ist die zentrale Zahlungsabwicklungs-Engine für die gesamte Oracle E-Business Suite. Oracle Payments wurde in Version 12 eingeführt, um die gesamte Zahlungsabwicklung für Transaktionen mit Kunden und Lieferanten zu konsolidieren. Während vor Version 12 Module wie „Accounts Payable“ und „Accounts Receivable“ Bankkonten und Kreditkarten jeweils separat definierten und verarbeiteten, konsolidiert das Zahlungsmodul nun die gesamte Kunden-, Bankkonto- und Kreditkartenabwicklung an einem Ort.

Im Rahmen des CPU vom Juli 2019 meldete Onapsis vier (4) CVEs für das Oracle EBS Payments-Modul. Während Oracle nur einen (CVE-2019-2775) als kritischen Fehler mit einem CVSS-Wert von 9,1 einstufte, weist Onapsis darauf hin, dass jedes Problem, das Kundenzahlungsdaten (Bankkonten und/oder Kreditkarten) potenziell gefährden könnte, als ernstes Risiko einzustufen ist.

Die vier von Onapsis gemeldeten CVEs im Bereich Zahlungsverkehr sind:

• CVE-2019-2775 (9.1) Uneingeschränkter Datei-Upload
• CVE-2019-2782 (7.5) Beliebiger Dateizugriff
• CVE-2019-2783 (5.8) Server-seitige Request-Forgery
• CVE-2019-2773 (5.8) Einfügen externer XML-Entitäten

Neben der sofortigen Installation der Patches empfiehlt Onapsis, sicherzustellen, dass die optionale Zahlungsfunktion die gespeicherten Bankkonto- und Kreditkartendaten der Kunden verschlüsselt. Für Kunden, die die Onapsis Security Platform OSP) nutzen, bietet OSP die Möglichkeit, sowohl zu überprüfen, ob die neuesten Sicherheitspatches installiert wurden, als auch, ob die optionale Funktion zur Verschlüsselung der Bankkonten der Kunden aktiviert wurde.

Uneingeschränkte Upload-Möglichkeit in EBS Payments
Onapsis hat CVE-2019-2775 (CVSS-Wert 9,1) wegen einer uneingeschränkten Upload-Möglichkeit in EBS Payments gemeldet. Dieser Exploit ermöglicht es einem Angreifer, Dateien aus der Ferne zu überschreiben, was potenziell zur Ausführung von Remote-Code und/oder zu einem Denial-of-Service-Angriff in EBS führen kann.

Auch wenn die Sicherheitslücke im Zahlungsmodul besteht, könnte eine erfolgreiche Ausnutzung einem Angreifer nicht nur Zugriff auf das Zahlungsmodul, sondern auf die gesamte EBS-Umgebung verschaffen. Um diesen Exploit näher zu erläutern: Aufgrund fehlender Validierungsprüfungen ermöglicht CVE-2019-2775 mehrere technische Angriffsvektoren, darunter:

• Durch den Einsatz einfacher Path-Traversal-Techniken könnte ein Angreifer (ohne Authentifizierung) verschiedene Dateien auf dem Server überschreiben und so die Integrität aller Dokumente gefährden, auf die der Benutzer „SysAdm“ Zugriff hat.
• Ein Angreifer könnte diese Sicherheitslücke auch ausnutzen, um CGI-Systemskripte zu erstellen. Diese Skripte können dann allein durch einen Verweis darauf ausgeführt werden, wodurch der Angreifer ohne jegliche Authentifizierung benutzerdefinierten Code auf dem Server aus der Ferne ausführen kann.
• Da es möglich ist, kritische EBS-Dokumente zu ändern, können auch kritische Konfigurationsdateien auf dem Server (oder sogar ausführbare EBS-Dateien) überschrieben werden, was zu einem Systemabsturz oder -ausfall führen und einen Denial-of-Service-Angriff auslösen kann.

Weitere von Onapsis gemeldete kritische Sicherheitslücken im Zahlungsverkehr
Jede Sicherheitslücke, die die Bankkonten- und Kreditkartendaten von Kunden gefährdet, ist ein ernstes Problem – insbesondere für Kunden, die gesetzliche Vorschriften und Compliance-Anforderungen zum Schutz von Zahlungsdaten erfüllen müssen. Neben CVE-2019-2775 meldete Onapsis drei weitere Sicherheitslücken:

• Unkontrollierte Offenlegung von Dateien in EBS Payments (CVE-2019-2782, CVSS-Wert 8,6): Bei erfolgreicher Ausnutzung dieser Sicherheitslücke kann ein Angreifer beliebige Systemdateien mit ApplMgr-Rechten (Admin-Rechten) einsehen. Dies würde beispielsweise den Zugriff auf kritische Dateien ermöglichen, die Passwörter und/oder sensible Informationen (z. B. Bankkonten) enthalten, und könnte dazu führen, dass das gesamte System kompromittiert wird.
• Server-Side Request Forgery in Oracle EBS IBY (CVE-2019-2783, CVSS-Wert 5,8): Es können Anfragen von EBS an beliebige andere Hosts und Ports gesendet werden; dies könnte dazu genutzt werden, interne Netzwerkressourcen aufzudecken, die aus Sicht des Angreifers zunächst nicht sichtbar sind.
• XXE in EBS Payments (CVE-2019-2773, CVSS-Wert von 5,8): Eine Schwachstelle im Zusammenhang mit XML External Entities ermöglicht es einem Angreifer, Systemdateien mit ApplMgr-Rechten auszulesen oder einen Denial-of-Service-Angriff auszulösen.

Kritische reflektierte serverseitige Request-Forgery-
Der Fehler mit dem höchsten CVSS-Wert ist eine weitere kritische Sicherheitslücke, die von unserem Team gemeldet wurde. Er wurde mit CVE-2019-2828 identifiziert, hat einen CVSS-Wert von 9,6 und handelt sich um eine reflektierte serverseitige Request-Forgery über ein anfälliges Servlet. Dieses Servlet dient dazu, den Inhalt einer Webseite abzurufen. Durch die Registrierung eines bösartigen Servers und die gezielte Manipulation der Webseiten-URL in der Anfrage kann ein Angreifer möglicherweise zwei Arten von Angriffen auslösen.

Der erste Angriff, der ohne Authentifizierung oder Benutzereingriff erfolgt, kann durch Ausnutzung einer Denial-of-Service-Schwachstelle alle EBS-Dienste lahmlegen. Durch das Senden manipulierter Anfragen ist es möglich, einen Oracle-EBS-Server dazu zu bringen, eine Verbindung zu dem bösartigen Server herzustellen, wodurch eine Verbindung entsteht, die so manipuliert werden kann, dass sie so viele Ressourcen wie möglich beansprucht.

Der schwerwiegendste Angriff kann unter Ausnutzung eines Java-Applets in der kontrollierten Antwort durchgeführt werden. Diese Schwachstelle funktioniert ähnlich wie Cross-Site-Scripting (XSS), wodurch ein Angreifer den Browser und die EBS-Sitzung des Opfers kompromittieren könnte.

Was diesen Fehler jedoch besonders interessant macht, ist die Tatsache, dass der anfällige Server – sofern ein Angreifer eine Applet-Ressource in den XSS einbindet – als Proxy fungiert und den bösartigen Java-Code für das Opfer abruft. Aus Sicherheitsgründen akzeptieren Browser und Java nur die Ausführung von Applets, die aus einer vertrauenswürdigen Quelle stammen, da diese kritische und gefährliche Aktionen auf dem Betriebssystem ausführen könnten. Da EBS für viele seiner täglich genutzten Formulare Applets verwendet, kann man davon ausgehen, dass dieser Server in der Liste der vertrauenswürdigen Domänen enthalten ist.

Wenn der Angreifer also die Referenz auf das schädliche Applet in den XSS-Code einfügt, ruft der EBS-Server dieses an den Client ab. Bei einem herkömmlichen XSS-Angriff wäre dies nicht der Fall, da der Java-Code dort aus einer böswilligen, nicht vertrauenswürdigen Quelle abgerufen würde. Da der Browser des Opfers davon ausgeht, dass das Applet von EBS stammt – einer vertrauenswürdigen Domäne –, wird es ohne zusätzliche Überprüfungen ausgeführt, was zu einer clientseitigen Remote-Code-Ausführung führt.

Weitere von Onapsis gemeldete Sicherheitslücken
Wie bereits erwähnt, hat Oracle insgesamt sechs von Onapsis Research Labsgemeldete EBS-Sicherheitslücken behoben. Zusätzlich zu den vier Sicherheitslücken im Bereich „Payments“ und der bereits erläuterten weiteren kritischen Schwachstelle wurde auch der folgende Patch veröffentlicht:

• Reflected Cross-Site Scripting (CVE-2019-2829, CVSS-Score 8,2): Ein Angreifer kann eine bösartige URL erstellen, die JavaScript-Code enthält, mit dem aktive Sitzungen oder Anmeldedaten von EBS-Clients entwendet werden können. Obwohl es sich um einen clientseitigen Angriff handelt, erhält der Angreifer nach dem Entwenden der Sitzung Zugriff auf das EBS-System.

Zusammenfassung des Oracle CPU vom Juli
Der CPU vom Juli enthält insgesamt 319 neue Sicherheitspatches für verschiedene Oracle-Produkte. Wie bereits erwähnt, betreffen 13 davon direkt Oracle EBS, und insgesamt gibt es 65 Sicherheitslücken, die diese platform betreffen, da ihr Stack unter anderem Lösungen wie Fusion Middleware oder Database umfasst:

• Oracle EBS: 13 Sicherheitslücken in Komponenten des Oracle EBS-Technologie-Stacks (12 dieser Sicherheitslücken können möglicherweise ohne Authentifizierung aus der Ferne ausgenutzt werden)
• Oracle-Datenbank: 9 für die Datenbank (eine dieser Schwachstellen kann möglicherweise ohne Authentifizierung aus der Ferne ausgenutzt werden)
• Oracle Middleware: 33 für Oracle Fusion Middleware (28 dieser Sicherheitslücken können möglicherweise ohne Authentifizierung aus der Ferne ausgenutzt werden)
• Oracle Java: 10 für Java (9 dieser Schwachstellen können möglicherweise ohne Authentifizierung aus der Ferne ausgenutzt werden).

Wie Oracle in der CPU-Mitteilung erwähnt hat, hat Oracle seit der CPU vom April 2019 zwei Sicherheitswarnungen für Oracle WebLogic Server veröffentlicht: CVE-2019-2725 (29. April 2019) und CVE-2019-2729 (18. Juni 2019). Dieses CPU enthält bereits die Korrekturen für die zuvor von Oracle veröffentlichten Warnungen.

Beachten Sie, dass alle 13 Sicherheitslücken in diesem CPU, die Oracle EBS betreffen, direkte Auswirkungen auf alle Versionen von EBS 12.1 bis 12.2.8 haben. Das bedeutet, dass es nicht ausreicht, nur über die neueste Version zu verfügen, sondern dass Sie stets auch das CPU in Ihrer Systemumgebung installieren müssen.

Die höchsten Bewertungen für einige Produkte im Bereich CPU liegen bei 9,8 und verteilen sich auf folgende Produkte: Oracle Database, Oracle Communications Applications, Oracle Construction and Engineering Suite, Oracle Enterprise Manager-Produkte.

Zusammenfassend lässt sich sagen, dass mit Hilfe von Onapsis in diesem Monat zwei kritische Sicherheitslücken in Oracle EBS behoben wurden. Beide Sicherheitslücken ermöglichen die Ausführung von Befehlen aus der Ferne, eine in jedem EBS-Client und die andere direkt auf der Serverseite. Außerdem können beide eine Denial-of-Service-Attacke auslösen. Auch wenn alle angekündigten Sicherheitspatches (CPUs) installiert werden sollten, müssen diese kritischen Sicherheitslücken unverzüglich durch die Installation des Oracle-Sicherheitspatches vom Juli behoben werden, um eine böswillige Ausnutzung zu verhindern. Sechs dieser 13 Patches (46 %) wurden ursprünglich von Onapsis Research Labs gemeldet, die Oracle diesen Monat bei der Bereitstellung kritischer Korrekturen unterstützt haben.

Um mehr über das Oracle Critical Patch Update vom Juli 2019 und bewährte Verfahren für die Installation der Patches zu erfahren, veranstalten wir am 25. Juli um 12 Uhr ET ein Webinar, in dem wir Ihnen weitere Einzelheiten zu diesem Critical Patch Day vorstellen. Nehmen Sie hier teil: Priorisierung und Installation des Oracle Critical Patch Updates vom Juli.