Летом стало известно, что хакеры нацелились на ERP-системы Oracle, и осенью инженеры компании сообщили об исправлении более 300 багов в своих продуктах

Тысячи частных учреждений и компаний, а также правительственных структур за первое полугодие 2018 года подверглись хакерским атакам, организованным с использованием старых уязвимостей в корпоративном программном обеспечении для бизнес-управления от «Оракле» и «САП».

Согласно сведениям информагентства Reuters, американское МВБ опубликовало соответственное уведомление безопасности, основываясь на отчете экспертов о рисках, которыми чревато пользование не обновленным ПО от Oracle и SAP.

Отчет ИБ-экспертов из Digital Shadows и Onapsis свидетельствует о том, что пара правительственных контор, а также ряд средств массовой информации и компаний электроэнергетического и финансового профиля были атакованы киберпреступниками, воспользовавшимися неисправленными уязвимостями в ПО «Оракле» и «САП».

Эти уязвимости дают возможность похищения важных сведений компании, вроде финансовой отчетности, авторской собственности, данных кредиток и мн. др.

Речь ведется о ERP-системе и сопутствующем ПО для управления кадрами, заказчиками и поставщиками. Большинство систем такого плана оставались уязвимыми на протяжении более 10-ти лет, но, по выводам экспертов, хакерский интерес к ним вырос лишь в последние годы.

В ходе исследований было выявлено около семнадцати тысяч доступных через всемирную паутину установок программ от Oracle и SAP, используемых в трех тысячах крупных компаний, госучреждениях и ВУЗах. Как минимум на десяти тысячах серверов функционирует сконфигурированное с ошибками ПО, которое может быть в любой момент успешно атаковано хакерами.

Кроме прочего, при изучении вышеуказанных программных продуктов были выявлены беседы на профильных форумах хакеров в РФ и Китае, в которых обсуждалось использование уязвимостей в ПО «Оракле» и «САП».

Для справки: ERP (сокращенно «планирование ресурсов предприятия») — организационная стратегия, нацеленная на сбалансированность и оптимизацию ресурсов предприятия. Она реализуется с помощью специализированного интегрированного пакета ПО. Таким образом, ERP-система — программный пакет, который реализует стратегию ERP.

Какие баги в своих продуктах устранили инженеры Oracle?

В сентябре 2018 года сотрудниками Oracle было ликвидировано свыше трехсот уязвимостей в ранее выпущенных компанией решениях. Впрочем, это не наиболее впечатляющий пакет патчей за ее историю. Так, в сентябре вышли исправления 301 бага, однако в июле в рамках обновления продуктов были выпущены «заплатки» для 334 уязвимостей.

Что же до ликвидации последних багов, то из 301 – 45 имели 9,8 бал. по 10-балльной шкале опасности. Кроме того, в их числе присутствовала уязвимость (CVE-2018-2913), которую оценили в 10 максимальных баллов. Баги со столь большим опасностным уровнем могут эксплуатироваться удаленно, не требуя аутентификации, а использовать их могут хакеры, даже не имеющие глубоких познаний в своей «профессии», поставив под угрозу обеспечение информационной безопасности компании.

Больше информации о ликвидированных уязвимостях можно узнать из отчета на сайте компании. Скажем лишь, что особо опасными с оценкой в 9,8 баллов были признаны баги в Oracle Database Server, Communications, Fusion Middleware, MySQL, Retail, Siebel CRM и т. д.

10-балльная проблема CVE-2018-2913 касается не только отдельных установок Oracle GoldenGate, но и иных продуктов, где ПО может использоваться в роли аддона (DB2, Sybase, MySQL и т. д).

В Москве прошел Dell Technologies Forum 2018
оборудование hp
HP выпущен ноутбук бизнес-класса – EliteBook x360 1040 G5 и тончайший хромкуб-трансформер Chromebook на процессорах Intel Core 8-го поколения

ИННОВАЦИИ, НОВОСТИ, МЕРОПРИЯТИЯ

Меню