Video: Sicherheitslücken in Oracle PAYDAY

Von:

22. November 2019

Kritische Sicherheitslücken in der Oracle E-Business Suite (EBS) aus dem Frühjahr dieses Jahres stellen ein neues Risiko dar, obwohl Oracle bereits Korrekturen veröffentlicht hat; Tausende von Unternehmen, die die Patches noch nicht installiert haben, sind weiterhin gefährdet.

Da weltweit über 21.000 Unternehmen Oracle EBS einsetzen, schätzt Onapsis, dass über 50 % der Oracle EBS-Kunden die zum Schutz ihrer Systeme erforderlichen Patches nicht installiert haben, wodurch Tausende von Unternehmen einem Risiko ausgesetzt sind. Zwei Angriffsszenarien, die diese Schwachstellen betreffen, werden in den folgenden Videos detailliert beschrieben. Das erste könnte dazu führen, dass ein böswilliger Benutzer control Ihre Oracle E-Business Suite erlangt, was dazu führt, dass ein Benutzer Rechnungszahlungen auf das Bankkonto eines Angreifers umleitet, ohne Spuren zu hinterlassen. Im zweiten Beispiel könnte ein böswilliger Benutzer über den Scheckdruckprozess von Oracle EBS gefälschte Bankschecks erstellen und ausdrucken und anschließend die Audit-Protokolle deaktivieren und löschen, um die Aktivität zu verbergen. Zusammen werden diese beiden schwerwiegenden Schwachstellen als „PAYDAY“-Angriffsszenarien bezeichnet und könnten Ihrem Unternehmen schaden, wenn Sie Ihr System nicht ordnungsgemäß gepatcht haben.

Sehen Sie sich die folgenden Videos an, um mehr über diese Angriffsszenarien sowie über die Installation von Patches für Ihr Oracle EBS-System und die Gewährleistung der Sicherheit Ihres Unternehmens zu erfahren. Laden Sie unseren Bericht zu den „PAYDAY“-Sicherheitslücken in Oracle EBS herunter, um mehr zu erfahren.

ORACLE EBS PAYDAY: BEARBEITUNG VON ÜBERWEISUNGEN

ORACLE EBS PAYDAY: DRUCKEN VON FREIGEGEBENEN SCHECKEN

Stichworte, ,
Über den Autor
JP

JP Perez-Etchegoyen

Als CTO leitet JP das Innovationsteam, das Onapsis an der Spitze des Marktes für geschäftskritische Anwendungssicherheit hält und sich mit einigen der komplexesten Probleme befasst, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. JP ist maßgeblich an der Entwicklung neuer Produkte beteiligt und unterstützt die Forschungsaktivitäten im Bereich ERP-Cybersicherheit, für die die Onapsis Research Labs große Anerkennung erhalten haben. JP wird regelmäßig als Redner und Schulungsleiter zu globalen Branchenkonferenzen eingeladen, darunter Black Hat, HackInTheBox, AppSec, Troopers, Oracle OpenWorld und SAP TechEd, und ist Gründungsmitglied der Cloud Working Group der Cloud Alliance (CSA). Im Laufe seiner beruflichen Laufbahn hat JP zahlreiche Beratungsprojekte im Bereich Informationssicherheit für einige der weltweit größten Unternehmen in den Bereichen Penetrationstests und Webanwendungstests, Schwachstellenforschung, Cybersicherheits-Audits und -Standards sowie Schwachstellenforschung und mehr geleitet.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen