Onapsis gibt 12 Sicherheitshinweise heraus, die Oracle E-Business Suite und Oracle JD Edwards betreffen
Aufsehen erregende Cyber-Risiken zeigen, dass unbefugte Benutzer Cross-Site-Scripting-, Denial-of-Service-, Passwort-Offenlegungs- und Benutzererstellungsangriffe durchführen können
Boston, MA - 28. Juli 2016 - Onapsis, die globalen Experten für geschäftskritische Anwendungssicherheit, haben heute eine neue Version veröffentlicht security advisories detaillierte Schwachstellen in Oracle E-Business Suite und Oracle JD Edwards. In den Advisories sind drei „kritische Risiko“-Schwachstellen für Oracle JD Edwards enthalten, die dazu genutzt werden könnten, Administratorrechte zu erlangen und möglicherweise die gesamte JDE-Landschaft zu gefährden. Diese Schwachstellen stellen ein potenzielles Risiko für Oracle JD Edwards-Kunden dar, die die JD Edwards 9.1 EnterpriseOne Server-Software für den Betrieb ihres Unternehmens verwenden.
„Zusätzlich zu den dringenden Sicherheitslücken mit ‚kritischem Risiko‘ sind diese Sicherheitshinweise die ersten von Dutzenden, die wir für Schwachstellen im Bereich Cross Site Scripting veröffentlicht haben reportan Oracle gesendet. Wenn ein Angreifer diese Art von Sicherheitslücke ausnutzt, wird Code auf dem Computer des Endbenutzers ausgeführt. Wenn eine Organisation mehr Anwendungen der Suite nutzt und über größere Bereitstellungen verfügt, gibt es eine größere Anzahl von Benutzern, die Zugriff auf das System haben – und damit ein höheres Risiko für die Organisation. Die Behebung dieser Art von Angriff muss äußerst priorisiert werden, da sie im Vergleich zu anderen Arten von Schwachstellen ein höheres Risiko für das Unternehmen darstellt“, sagte Matias Mevied, Senior Oracle Security Researcher bei Onapsis.
Als zentrale Geschäftsanwendung verwaltet Oracle E-Business Suite wichtige Informationen wie Finanz-, Personal- und Kundendaten, Projektportfoliomanagement, Beschaffung und Lieferkettenmanagement. JD Edwards EnterpriseOne von Oracle ist eine integrierte Anwendungssuite umfassender Enterprise-Resource-Planning-Software, die Geschäftswert, auf Standards basierende Technologie und umfassende Branchenerfahrung in einer Geschäftslösung mit niedrigen Gesamtbetriebskosten vereint.
Zu den Sicherheitslücken, die die Oracle E-Business Suite betreffen, gehören:
High Risk
- Oracle E-Business Suite Cross-Site-Scripting (XSS)
- Durch die Ausnutzung dieser Schwachstelle könnte ein Remote-Angreifer vertrauliche Geschäftsinformationen stehlen, indem er andere mit dem System verbundene Benutzer ins Visier nimmt.
Sicherheitslücken, die Oracle JD Edwards betreffen:
Kritisches Risiko
- Offenlegung von JD Edwards JDENet-Passwörtern
- Durch die Ausnutzung dieser Schwachstelle könnte ein nicht authentifizierter Angreifer Administratorrechte erlangen und möglicherweise alle auf dem JDE-System gespeicherten und verarbeiteten Informationen gefährden.
- Offenlegung des JD Edwards Server Manager-Passworts
- Durch Ausnutzung dieser Schwachstelle könnte ein nicht authentifizierter Angreifer den Administrationsbenutzer und die Passwörter aus dem Server-Manager abrufen. Dies könnte zu einer potenziellen Kompromittierung der gesamten JDE-Landschaft und damit aller ihrer Informationen und Prozesse führen.
- JD Edwards Server Manager Benutzer erstellen
- Durch die Ausnutzung dieser Schwachstelle könnte ein nicht authentifizierter Angreifer Benutzer im Server-Manager erstellen und so letztendlich die gesamte JDE-Landschaft und alle ihre Informationen und Prozesse gefährden.
Die Advisories werden von der veröffentlicht Onapsis Research Labs, ein Team von Sicherheitsexperten, die fundiertes Wissen und Erfahrung kombinieren, um technische Analysen mit geschäftlichem Kontext zu liefern und dem Markt fundierte Sicherheitsberatung zu bieten. Das Team hat reporthat mehr als 300 SAP- und Oracle-Schwachstellen behoben, bisher über 150 Sicherheitshinweise veröffentlicht und mit dem DHS an der Veröffentlichung der allerersten gearbeitet US-CERT-Warnung für SAP-Geschäftsanwendungen. Im Juli-Critical-Patch-Update von Oracle 15 der Schwachstellen wurden behoben wurden von der bekannt gegeben Onapsis Research Labs.
In jeder Empfehlung wird die Geschäftskontextrelevanz einer identifizierten Schwachstelle detailliert beschrieben, einschließlich der Auswirkungen auf ein Unternehmen, einer Beschreibung der betroffenen Komponenten und Schritten zur Lösung, wie z. B. Patch-Download-Links und empfohlenen Sicherheitskorrekturen.
Die Hinweise sind öffentlich zugänglich unter: https://onapsis.com/research/advisories.
Über Onapsis
Onapsis bietet die umfassendsten Lösungen zur Sicherung von SAP- und Oracle-Unternehmensanwendungen. Als führender Experte für SAP- und Oracle-Cybersicherheit ermöglichen die patentierten Lösungen von Onapsis Sicherheits- und Prüfteams Transparenz, Vertrauen und Sicherheit control von hochentwickelten Bedrohungen, Cyber-Risiken und Compliance-Lücken, die sich auf ihre Unternehmensanwendungen auswirken.
Onapsis hat seinen Hauptsitz in Boston, MA und bedient über 200 Kunden, darunter viele der Global 2000. Die Lösungen von Onapsis sind auch der De-facto-Standard für führende Beratungs- und Prüfungsunternehmen wie Accenture, Deloitte, E&Y, IBM, KPMG und PwC.
Zu den Onapsis-Lösungen gehört die Onapsis Security Platform, die am weitesten verbreitete SAP-zertifizierte Cybersicherheitslösung auf dem Markt. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextsensitiven Lösungen von Onapsis sowohl präventive Schwachstellen als auch Compliance controls sowie Funktionen zur Erkennung und Reaktion auf Vorfälle in Echtzeit, um Risiken zu reduzieren, die sich auf kritische Geschäftsprozesse und Daten auswirken. Durch offene Schnittstellen kann die Plattform in führende SIEM-, GRC- und Netzwerksicherheitsprodukte integriert werden und Unternehmensanwendungen nahtlos in bestehende Schwachstellen-, Risiko- und Incident-Response-Managementprogramme integrieren.
Diese Lösungen basieren auf der Onapsis Research Labs die kontinuierlich führende Informationen zu Sicherheitsbedrohungen liefern, die SAP- und Oracle-Unternehmensanwendungen beeinträchtigen. Experten der Onapsis Research Labs waren die ersten, die einen Vortrag über SAP-Cyberangriffe hielten und bis heute Hunderte von Sicherheitslücken aufgedeckt und behoben haben, die SAP Business Suite, SAP HANA und SAP betreffen Cloud und SAP Mobile-Anwendungen sowie die Plattformen Oracle JD Edwards und Oracle E-Business Suite.
Onapsis wurde das US-Patent Nr. 9,009,837 mit dem Titel „Automated Security“ erteilt Assess„ment of Business-Critical Systems and Applications“, das bestimmte Algorithmen und Fähigkeiten beschreibt, die hinter der Technologie stehen, die die Softwareplattformen Onapsis Security Platform™ und Onapsis X1™ antreibt. Diese patentierte Technologie ist branchenweit anerkannt und hat Onapsis die Auszeichnung als SINET 2015 Innovator 16 eingebracht.
Weitere Informationen finden Sie unter www.onapsis.comoder verbinden Sie sich mit uns auf Twitter, Google+, oder LinkedIn.
Onapsis und Onapsis Research Labs sind eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen können eingetragene Marken ihrer jeweiligen Eigentümer sein.