Pressemitteilung
Onapsis entdeckt eine kritische Sicherheitslücke in der E-Business Suite (EBS) und unterstützt Oracle bei deren Behebung
Boston, MA – 18. Juli 2017 – Onapsis, der weltweit führende Experte für Cybersicherheit und Compliance bei SAP- und Oracle-Anwendungen, gab heute die Entdeckung mehrerer Sicherheitslücken bekannt, darunter eine als hochriskant eingestufte, die Oracle E-Business Suite (EBS)-Plattformen betrifft. Bei Ausnutzung dieser Schwachstelle könnte ein Angreifer alle im EBS-System gespeicherten Geschäftsdokumente abrufen, was zu einem potenziell schwerwiegenden Informations- und Datenverlust sowie zu kostspieligen Compliance-Verstößen wie PCI-DSS, PII, NIST und SoX führen könnte. Oracle EBS ist eine der für den Betrieb großer Unternehmen kritischsten Anwendungen. Die branchenübergreifenden Funktionen umfassen Customer Relationship Management (CRM), Finanzmanagement, Personalmanagement, Lieferkettenmanagement, Beschaffung und viele weitere Bereiche.
Onapsis warnt Nutzer der Oracle E-Business Suite-Versionen 12.1.3, 12.2.3, 12.2.4, 12.2.5 und 12.2.6, dass sie einer Sicherheitslücke ausgesetzt sind, die das Herunterladen beliebiger Dokumente ermöglicht. Das bedeutet, dass jeder, der eine Verbindung zum Webserver herstellen kann (ohne dass Zugangsdaten erforderlich sind) und eine einzige HTTP-Anfrage sendet, auf jedes in der Datenbank gespeicherte Dokument zugreifen kann. Diese Datenbank dient als Repository für das Unternehmen und speichert wichtige Geschäftsdokumente und -prozesse.
Diese Meldung ist ein weiteres Beispiel dafür, dass geschäftskritische Anwendungen wie Oracle EBS eine zunehmende Bedrohung darstellen, da sie das perfekte wirtschaftliche Ziel für Cyberkriminelle und staatlich geförderte Hacker sowie für interne Betrugsversuche sind. Die Sicherheitslücken bei Oracle EBS nehmen zu: Im bisherigen Jahresverlauf 2017 ist ein Anstieg um 46 % gegenüber dem Vorjahreszeitraum zu verzeichnen. Im Vorfeld der jährlichen Black Hat-Konferenz threat intelligence Onapsis Research LabsOracle-Kunden vor schwerwiegenden Risiken, die EBS-basierte Plattformen betreffen. Diese Anwendungen wurden von Natur aus nicht unter Sicherheitsaspekten entwickelt und werden von den heutigen traditionellen Sicherheitstools nicht geschützt. Darüber hinaus fällt die Verantwortung für die Sicherung dieser Anwendungen oft durch die Ritzen zwischen IT-, Anwendungs- und Sicherheitsteams. Diese Situation schafft bei CISOs und Vorständen eine Dringlichkeit hinsichtlich eines bisherigen großen blinden Flecks in ihren Sicherheitsprogrammen.
„Diese Sicherheitslücke ist besonders kritisch, da ein Angreifer lediglich einen Webbrowser und Netzwerkzugang zum EBS-System benötigt, um sie auszunutzen. Im System könnten zahlreiche wichtige Dokumente gespeichert sein, darunter Rechnungen, Bestellungen, Personalinformationen und Konstruktionsunterlagen, um nur einige zu nennen. Selbst Systeme im DMZ-Modus bieten keine Garantie dafür, dass sie nicht anfällig sind“, sagte Juan Perez-Etchegoyen, CTO bei Onapsis.
„Auch wenn wir niemals Scans durchführen würden, um anfällige Systeme zu identifizieren, konnten wir mithilfe kostenloser Suchmaschinen feststellen, dass derzeit mehr als 1.000 EBS-Systeme mit dem Internet verbunden sind, wobei sich mehr als die Hälfte davon in den Vereinigten Staaten befindet. Diese Organisationen müssen unverzüglich Patches installieren, um dieses Risiko in ihrem Unternehmen zu mindern“, fuhr Perez-Etchegoyen fort.
Als führender Oracle-Partner im Bereich Cybersicherheit arbeitete Onapsis eng mit den Teams für Produktsicherheit und Entwicklung bei Oracle zusammen, um diese bei der Entwicklung der Sicherheitspatches zu unterstützen. „Wie immer hat Onapsis die Informationen zur Sicherheitslücke umgehend an den Anbieter weitergeleitet, damit ein Patch entwickelt und für Oracle-Kunden bereitgestellt werden kann – was sehr schnell geschah und bereits im nächsten CPU enthalten war. Unsere oberste Priorität ist die Sicherung geschäftskritischer Anwendungen, und wir sind stolz darauf, dass wir direkt für die Behebung von 11 der 22 Schwachstellen verantwortlich waren, die EBS im CPU dieses Monats betrafen“, erklärte Mariano Nunez, CEO und Mitbegründer von Onapsis.
Im Rahmen seiner Richtlinie zur verantwortungsvollen Offenlegung Onapsis Research Labs die Onapsis Research Labs technische Details zu diesen Sicherheitslücken erst dann veröffentlichen, wenn diese behoben wurden, um sicherzustellen, dass Oracle-Kunden über die notwendigen Mittel verfügen, um ihre EBS-Systeme zu sichern. Weitere Maßnahmen zur Risikominderung finden Sie im Onapsis Advanced Threat Protection Report.
Onapsis Research Labs mehr als 240 Sicherheitslücken in Oracle-Geschäftsanwendungen entdeckt, Oracle dabei unterstützt, über 57 % aller gemeldeten EBS-Sicherheitslücken zu beheben, und bis heute über 150 Sicherheitshinweise veröffentlicht. Jeder Sicherheitshinweis beschreibt detailliert die geschäftliche Relevanz einer identifizierten Sicherheitslücke, einschließlich der Auswirkungen auf das Unternehmen, einer Beschreibung der betroffenen Komponenten sowie Maßnahmen zur Behebung, wie beispielsweise Links zum Herunterladen von Patches und empfohlene Sicherheitskorrekturen.
Über Onapsis
Die Cybersicherheitslösungen von Onapsis automatisieren die Überwachung und den Schutz Ihrer SAP-Anwendungen und sorgen dafür, dass diese die gesetzlichen Vorschriften einhalten und vor Bedrohungen durch interne und externe Akteure geschützt sind. Als bewährter Marktführer genießen wir das Vertrauen globaler Unternehmen, die uns den Schutz ihrer geschäftskritischen Informationen und Prozesse anvertrauen.
Onapsis mit Hauptsitz in Boston, Massachusetts, betreut über 200 Kunden, darunter viele der Global-2000-Unternehmen. Die Lösungen von Onapsis gelten zudem als De-facto-Standard für führende Beratungs- und Wirtschaftsprüfungsgesellschaften wie Accenture, Deloitte, E&Y, IBM, KPMG und PwC.
Zu den Lösungen von Onapsis gehört die Onapsis Security Platform, die marktweit am häufigsten eingesetzte SAP-zertifizierte Cybersicherheitslösung. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextbezogenen Lösungen von Onapsis sowohl präventive Maßnahmen zur Schwachstellen- und Compliance-Kontrolle als auch Funktionen zur Echtzeit-Erkennung und Incident Response, um Risiken für kritische Geschäftsprozesse und Daten zu minimieren. Über offene Schnittstellen platform sich die platform in führende SIEM-, GRC- und Netzwerksicherheitsprodukte integrieren und bindet Unternehmensanwendungen nahtlos in bestehende Programme zum Schwachstellen-, Risiko- und Vorfallmanagement ein.
Diese Lösungen basieren auf den Erkenntnissen Onapsis Research Labs kontinuierlich führende Informationen zu Sicherheitsbedrohungen für SAP- und Oracle-Unternehmensanwendungen bereitstellen. Die Experten der Onapsis Research Labs die ersten, die Vorträge über Cyberangriffe auf SAP-Systeme hielten, und haben bis heute Hunderte von Sicherheitslücken aufgedeckt und bei deren Behebung mitgewirkt, die SAP Business Suite, SAP HANA, SAP Cloud SAP Mobile-Anwendungen sowie die Plattformen Oracle JD Edwards und Oracle E-Business Suite betrafen. Onapsis wurde das US-Patent Nr. 9.009.837 mit dem Titel „Automated Security Assessment of Business-Critical Systems and Applications“ erteilt, das bestimmte Algorithmen und Funktionen beschreibt, die der Technologie zugrunde liegen, auf der die Softwareplattformen Onapsis Security Platform™ und Onapsis X1™ basieren. Diese patentierte Technologie ist branchenweit anerkannt und hat Onapsis die Auszeichnung als „2015 SINET 16 Innovator“ eingebracht.
Weitere Informationen finden Sie unter www.onapsis.com oder folgen Sie uns auf Twitter, Google+ oder LinkedIn.
„Onapsis“ und Onapsis Research Labs eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen sind möglicherweise eingetragene Marken ihrer jeweiligen Eigentümer.
###
Ansprechpartner für die Medien:
Leslie Kesselring, Kesselring Communications
503-358-1012