Onapsis veröffentlicht 12 Sicherheitshinweise zu Oracle E-Business Suite und Oracle JD Edwards

Aktuelle Cyber-Risiken zeigen, dass unbefugte Nutzer Angriffe wie Cross-Site-Scripting, Denial-of-Service, Passwort-Enthüllung und die Erstellung von Benutzerkonten durchführen könnten

Boston, MA – 28. Juli 2016 – Onapsis, der weltweit führende Experte für die Sicherheit geschäftskritischer Anwendungen, hat heute neue security advisories veröffentlicht, in denen Schwachstellen in der Oracle E-Business Suite und Oracle JD Edwards security advisories . Die Hinweise enthalten drei Schwachstellen mit „kritischem Risiko“ für Oracle JD Edwards, die dazu genutzt werden könnten, Administratorrechte zu erlangen und möglicherweise die gesamte JDE-Landschaft zu gefährden. Diese Schwachstellen stellen ein potenzielles Risiko für Oracle JD Edwards-Kunden dar, die die JD Edwards 9.1 EnterpriseOne Server-Software für ihre Geschäftsabläufe nutzen.

„Neben den dringenden Sicherheitslücken mit ‚kritischem Risiko‘ sind diese Sicherheitshinweise die ersten von Dutzenden, die zu Cross-Site-Scripting-Schwachstellen veröffentlicht werden, die wir Oracle gemeldet haben. Wenn ein Angreifer diese Art von Schwachstelle ausnutzt, wird Code auf dem Rechner des Endnutzers ausgeführt. Je mehr Anwendungen der Suite ein Unternehmen nutzt und je größer die Installationen sind, desto mehr Nutzer haben Zugriff auf das System – was ein erhöhtes Risiko für das Unternehmen mit sich bringt. Die Behebung dieser Art von Angriffen muss unbedingt Priorität haben, da sie im Vergleich zu anderen Arten von Schwachstellen ein höheres Risiko für das Unternehmen darstellen“, sagte Matias Mevied, Senior Oracle Security Researcher bei Onapsis.

Als zentrale Unternehmensanwendung verwaltet die Oracle E-Business Suite wichtige Informationen wie Finanz-, Personal- und Kundendaten sowie Daten aus den Bereichen Projektportfoliomanagement, Beschaffung und Lieferkettenmanagement. Oracle JD Edwards EnterpriseOne ist eine integrierte Anwendungssuite für umfassendes Enterprise-Resource-Planning, die geschäftlichen Nutzen, standardbasierte Technologie und fundierte Branchenerfahrung zu einer Unternehmenslösung mit niedrigen Gesamtbetriebskosten vereint.

Zu den Sicherheitslücken, die die Oracle E-Business Suite betreffen, gehören:

Hohes Risiko

• Oracle E-Business Suite – Cross-Site-Scripting (XSS)
  • Durch Ausnutzen dieser Sicherheitslücke könnte ein Angreifer aus der Ferne sensible Geschäftsdaten stehlen, indem er andere mit dem System verbundene Benutzer ins Visier nimmt.

Sicherheitslücken, die Oracle JD Edwards betreffen:

Kritisches Risiko

• Offenlegung von JD Edwards JDENet-Passwörtern
  • Durch Ausnutzung dieser Sicherheitslücke könnte ein nicht authentifizierter Angreifer Administratorrechte erlangen und wäre in der Lage, potenziell alle im JDE-System gespeicherten und verarbeiteten Informationen zu kompromittieren.
• Offenlegung des Passworts für den JD Edwards Server Manager
  • Durch Ausnutzung dieser Sicherheitslücke könnte ein nicht authentifizierter Angreifer die Administrator-Benutzernamen und -Passwörter aus dem Server-Manager abrufen. Dies könnte zu einer potenziellen Kompromittierung der gesamten JDE-Landschaft und damit aller darin enthaltenen Informationen und Prozesse führen.
• JD Edwards Server Manager – Benutzer anlegen
  • Durch Ausnutzung dieser Sicherheitslücke könnte ein nicht authentifizierter Angreifer im Server-Manager Benutzer anlegen und so letztlich die gesamte JDE-Landschaft sowie alle darin enthaltenen Informationen und Prozesse gefährden.

Die Sicherheitshinweise werden von den Onapsis Research Labs veröffentlicht, einem Team von Sicherheitsexperten, die fundiertes Fachwissen und langjährige Erfahrung bündeln, um technische Analysen im geschäftlichen Kontext zu liefern und dem Markt fundierte Sicherheitsempfehlungen zu geben. Das Team hat mehr als 300 Sicherheitslücken bei SAP und Oracle gemeldet, bisher über 150 Sicherheitshinweise veröffentlicht und gemeinsam mit dem DHS an der Veröffentlichung des allerersten US-CERT-Alerts für SAP-Geschäftsanwendungen gearbeitet. Im Critical Patch Update von Oracle vom Juli wurden 15 der behobenen Sicherheitslücken von den Onapsis Research Labs aufgedeckt.

Jede Sicherheitsmitteilung erläutert die geschäftliche Relevanz einer identifizierten Schwachstelle, einschließlich der Auswirkungen auf das Unternehmen, einer Beschreibung der betroffenen Komponenten sowie Maßnahmen zur Behebung, wie beispielsweise Links zum Herunterladen von Patches und empfohlene Sicherheitskorrekturen.

Die Sicherheitshinweise sind öffentlich zugänglich unter: https://onapsis.com/research/advisories.

Über Onapsis

Onapsis bietet die umfassendsten Lösungen für die Absicherung von SAP- und Oracle-Unternehmensanwendungen. Als führender Experte für Cybersicherheit bei SAP und Oracle ermöglichen die patentierten Lösungen von Onapsis Sicherheits- und Audit-Teams Transparenz, Vertrauen und control komplexe Bedrohungen, Cyberrisiken und Compliance-Lücken, die ihre Unternehmensanwendungen betreffen.

Onapsis mit Hauptsitz in Boston, Massachusetts, betreut über 200 Kunden, darunter viele der Global-2000-Unternehmen. Die Lösungen von Onapsis gelten zudem als De-facto-Standard für führende Beratungs- und Wirtschaftsprüfungsgesellschaften wie Accenture, Deloitte, E&Y, IBM, KPMG und PwC.

Zu den Lösungen von Onapsis gehört die Onapsis Security Platform, die marktweit am häufigsten eingesetzte SAP-zertifizierte Cybersicherheitslösung. Im Gegensatz zu generischen Sicherheitsprodukten bieten die kontextbezogenen Lösungen von Onapsis sowohl präventive Maßnahmen zur Schwachstellen- und Compliance-Kontrolle als auch Funktionen zur Echtzeit-Erkennung und Incident Response, um Risiken für kritische Geschäftsprozesse und Daten zu minimieren. Über offene Schnittstellen platform sich die platform in führende SIEM-, GRC- und Netzwerksicherheitsprodukte integrieren und bindet Unternehmensanwendungen nahtlos in bestehende Programme zum Schwachstellen-, Risiko- und Vorfallmanagement ein.

Diese Lösungen basieren auf den Erkenntnissen Onapsis Research Labs kontinuierlich führende Informationen zu Sicherheitsbedrohungen für SAP- und Oracle-Unternehmensanwendungen bereitstellen. Die Experten der Onapsis Research Labs die ersten, die Vorträge über Cyberangriffe auf SAP-Systeme hielten, und haben bis heute Hunderte von Sicherheitslücken aufgedeckt und bei deren Behebung mitgewirkt, die SAP Business Suite, SAP HANA, SAP Cloud SAP Mobile-Anwendungen sowie die Plattformen Oracle JD Edwards und Oracle E-Business Suite betrafen.

Onapsis wurde das US-Patent Nr. 9.009.837 mit dem Titel „Automated Security Assessment of Business-Critical Systems and Applications“ erteilt, das bestimmte Algorithmen und Funktionen beschreibt, die der Technologie zugrunde liegen, auf der die Softwareplattformen Onapsis Security Platform™ und Onapsis X1™ basieren. Diese patentierte Technologie ist branchenweit anerkannt und hat Onapsis die Auszeichnung als „SINET 16 Innovator 2015“ eingebracht.

Weitere Informationen finden Sie unter www.onapsis.com oder folgen Sie uns auf Twitter, Google+ oder LinkedIn.

„Onapsis“ und Onapsis Research Labs eingetragene Marken von Onapsis, Inc. Alle anderen Firmen- oder Produktnamen sind möglicherweise eingetragene Marken ihrer jeweiligen Eigentümer.