Pressemitteilung

Onapsis identifiziert und unterstützt Oracle bei der Sicherung kritischer Sicherheitslücken in der E-Business Suite (EBS)

Boston, MA – 18. Juli 2017 – Onapsis, der globale Experte für Cybersicherheit und Compliance von SAP- und Oracle-Anwendungen, gab heute die Entdeckung mehrerer Schwachstellen bekannt, darunter eine als hochriskant eingestufte Schwachstelle, die Oracle E-Business Suite (EBS)-Plattformen betrifft. Bei Ausnutzung dieser Schwachstelle könnte ein Angreifer alle im EBS-System gespeicherten Geschäftsdokumente abrufen, was zu einem potenziell schwerwiegenden Informations- und Datenverlust sowie kostspieligen Compliance-Verstößen wie PCI-DSS, PII, NIST und SoX führen würde. Oracle EBS ist eine der kritischsten Anwendungen für den Betrieb großer Organisationen. Die branchenübergreifenden Fähigkeiten umfassen Customer Relationship Management (CRM), Finanzmanagement, Human Capital Management, Supply Chain Management, Beschaffung und viele andere.

Onapsis warnt Benutzer der Oracle E-Business Suite-Versionen 12.1.3, 12.2.3, 12.2.4, 12.2.5 und 12.2.6, dass sie einer Sicherheitslücke beim Herunterladen willkürlicher Dokumente ausgesetzt sind, was bedeutet, dass jeder, der eine Verbindung herstellen kann Der Webserver (es sind keine Zugangsdaten erforderlich) kann mit einer einzigen HTTP-Anfrage auf jedes in der Datenbank gespeicherte Dokument zugreifen, das als Repository für die Organisation dient und wichtige Geschäftsdokumente und -prozesse speichert.

Diese Nachricht ist ein weiteres Beispiel dafür, dass geschäftskritische Anwendungen wie Oracle EBS eine neue Bedrohung darstellen, da sie das perfekte wirtschaftliche Ziel für Cyberkriminalitätsorganisationen und staatliche Hacker sowie für internen Betrug sind. Schwachstellen in Oracle EBS nehmen zu, mit einem Anstieg von 46 % im bisherigen Jahresverlauf 2017 im Vergleich zum Vorjahreszeitraum. Im Vorfeld der jährlichen Black-Hat-Konferenz schützt die Bedrohungsanalyse von Onapsis Research Labs Oracle-Kunden vor schwerwiegenden Risiken für EBS-basierte Plattformen. Diese Anwendungen sind von Natur aus nicht auf Sicherheit ausgelegt und werden nicht durch die heutigen herkömmlichen Sicherheitstools geschützt. Darüber hinaus liegt die Verantwortung für die Sicherung dieser Anwendungen häufig zwischen IT-, Anwendungs- und Sicherheitsteams. Diese Situation führt bei CISOs und Vorständen zu einer Dringlichkeit angesichts eines großen blinden Flecks in ihren Sicherheitsprogrammen.

„Diese Schwachstelle ist besonders kritisch, da ein Angreifer für die Ausführung lediglich einen Webbrowser und Netzwerkzugriff auf das EBS-System benötigt. Im System können beliebig viele wichtige Dokumente gespeichert werden, darunter Rechnungen, Bestellungen, Personalinformationen und Designdokumente. Selbst Systeme im DMZ-Modus stellen nicht sicher, dass diese Systeme nicht angreifbar sind“, sagte Juan Perez-Etchegoyen, CTO von Onapsis.

„Obwohl wir niemals scannen würden, um anfällige Systeme zu identifizieren, konnten wir mithilfe kostenloser Suchmaschinen feststellen, dass derzeit über 1,000 EBS-Systeme mit dem Internet verbunden sind, mehr als die Hälfte davon in den Vereinigten Staaten. Diese Organisationen müssen sofort Patches durchführen, um dieses Risiko in ihrer Organisation zu mindern“, fuhr Perez-Etchegoyen fort.

Als führender Oracle-Partner für Cybersicherheit arbeitete Onapsis eng mit den Produktsicherheits- und Engineering-Teams von Oracle zusammen, um sie bei der Entwicklung der Sicherheitspatches zu unterstützen. „Wie immer gibt Onapsis die Schwachstelleninformationen sofort an den Anbieter weiter, damit ein Patch entwickelt und für Oracle-Kunden freigegeben werden kann, was sie sehr schnell erledigten und in ihrer nächsten CPU hatten.“ Unsere oberste Priorität ist die Sicherung geschäftskritischer Anwendungen und wir sind stolz darauf, dass wir direkt für die Sicherung von 11 der 22 Schwachstellen verantwortlich waren, die EBS betreffen CPU des Monats“, erklärte Mariano Nunez, CEO und Mitbegründer von Onapsis.

Im Rahmen ihrer Richtlinie zur verantwortungsvollen Offenlegung werden die Onapsis Research Labs technische Details zu diesen Schwachstellen erst veröffentlichen, nachdem sie gepatcht wurden, um sicherzustellen, dass Oracle-Kunden über alles verfügen, was sie zur Sicherung dieser EBS-Systeme benötigen. Weitere Abhilfemaßnahmen finden Sie im Onapsis Advanced Threat Protection-Bericht.

Die Onapsis Research Labs haben mehr als 240 Schwachstellen in Oracle-Geschäftsanwendungen entdeckt, Oracle bei der Absicherung von über 57 % aller gemeldeten EBS-Schwachstellen geholfen und bisher über 150 Sicherheitshinweise veröffentlicht. In jeder Empfehlung wird die Geschäftskontextrelevanz einer identifizierten Schwachstelle detailliert beschrieben, einschließlich der Auswirkungen auf ein Unternehmen, einer Beschreibung der betroffenen Komponenten und Schritten zur Lösung, wie z. B. Patch-Download-Links und empfohlenen Sicherheitskorrekturen.

Über Onapsis

Die Cybersicherheitslösungen von Onapsis automatisieren die Überwachung und den Schutz Ihrer SAP-Anwendungen und sorgen dafür, dass sie konform und vor Bedrohungen von innen und außen geschützt sind. Als bewährter Marktführer vertrauen globale Unternehmen auf Onapsis, wenn es darum geht, die wesentlichen Informationen und Prozesse zu schützen, die ihre Geschäfte betreiben.

Onapsis hat seinen Hauptsitz in Boston, MA und bedient über 200 Kunden, darunter viele der Global 2000. Die Lösungen von Onapsis sind auch der De-facto-Standard für führende Beratungs- und Prüfungsunternehmen wie Accenture, Deloitte, E&Y, IBM, KPMG und PwC.

Zu den Onapsis-Lösungen gehört die Onapsis Security Platform, die am weitesten verbreitete SAP-zertifizierte Cybersicherheitslösung auf dem Markt. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextsensitiven Lösungen von Onapsis sowohl präventive Schwachstellen- und Compliance-Kontrollen als auch Echtzeiterkennungs- und Vorfallreaktionsfunktionen, um Risiken für kritische Geschäftsprozesse und Daten zu reduzieren. Durch offene Schnittstellen kann die Plattform in führende SIEM-, GRC- und Netzwerksicherheitsprodukte integriert werden und Unternehmensanwendungen nahtlos in bestehende Schwachstellen-, Risiko- und Incident-Response-Managementprogramme integrieren.

Diese Lösungen werden von den Onapsis Research Labs betrieben, die kontinuierlich führende Informationen zu Sicherheitsbedrohungen liefern, die SAP- und Oracle-Unternehmensanwendungen beeinträchtigen. Experten der Onapsis Research Labs hielten als erste einen Vortrag über SAP-Cyberangriffe und haben bis heute Hunderte von Sicherheitslücken aufgedeckt und behoben, die SAP Business Suite-, SAP HANA-, SAP Cloud- und SAP Mobile-Anwendungen sowie Oracle JD Edwards betreffen und Oracle E-Business Suite-Plattformen. Onapsis wurde das US-Patent Nr. 9,009,837 mit dem Titel „Automated Security Assessment of Business-Critical Systems and Applications“ erteilt, das bestimmte Algorithmen und Fähigkeiten hinter der Technologie beschreibt, die die Softwareplattformen Onapsis Security Platform™ und Onapsis X1™ antreibt. Diese patentierte Technologie ist branchenweit anerkannt und hat Onapsis die Auszeichnung als SINET 2015 Innovator 16 eingebracht.

Für weitere Informationen besuchen Sie bitte www.onapsis.com oder kontaktieren Sie uns unter Twitter, Google+, oder LinkedIn.

Onapsis und Onapsis Research Labs sind eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen können eingetragene Marken ihrer jeweiligen Eigentümer sein.

###

Medienkontakte:

Leslie Kesselring, Kesselring Communications

503-358-1012

[E-Mail geschützt]