Тысячи частных учреждений и компаний, а также правительственных структур за первое полугодие 2018 года подверглись хакерским атакам, организованным с использованием старых уязвимостей в корпоративном программном обеспечении для бизнес-управления от «Оракле» и «САП».
Согласно сведениям информагентства Reuters, американское МВБ опубликовало соответственное уведомление безопасности, основываясь на отчете экспертов о рисках, которыми чревато пользование не обновленным ПО от Oracle и SAP.
Отчет ИБ-экспертов из Digital Shadows и Onapsis свидетельствует о том, что пара правительственных контор, а также ряд средств массовой информации и компаний электроэнергетического и финансового профиля были атакованы киберпреступниками, воспользовавшимися неисправленными уязвимостями в ПО «Оракле» и «САП».
Эти уязвимости дают возможность похищения важных сведений компании, вроде финансовой отчетности, авторской собственности, данных кредиток и мн. др.
Речь ведется о ERP-системе и сопутствующем ПО для управления кадрами, заказчиками и поставщиками. Большинство систем такого плана оставались уязвимыми на протяжении более 10-ти лет, но, по выводам экспертов, хакерский интерес к ним вырос лишь в последние годы.
В ходе исследований было выявлено около семнадцати тысяч доступных через всемирную паутину установок программ от Oracle и SAP, используемых в трех тысячах крупных компаний, госучреждениях и ВУЗах. Как минимум на десяти тысячах серверов функционирует сконфигурированное с ошибками ПО, которое может быть в любой момент успешно атаковано хакерами.
Кроме прочего, при изучении вышеуказанных программных продуктов были выявлены беседы на профильных форумах хакеров в РФ и Китае, в которых обсуждалось использование уязвимостей в ПО «Оракле» и «САП».
Для справки: ERP (сокращенно «планирование ресурсов предприятия») — организационная стратегия, нацеленная на сбалансированность и оптимизацию ресурсов предприятия. Она реализуется с помощью специализированного интегрированного пакета ПО. Таким образом, ERP-система — программный пакет, который реализует стратегию ERP.
Какие баги в своих продуктах устранили инженеры Oracle?
В сентябре 2018 года сотрудниками Oracle было ликвидировано свыше трехсот уязвимостей в ранее выпущенных компанией решениях. Впрочем, это не наиболее впечатляющий пакет патчей за ее историю. Так, в сентябре вышли исправления 301 бага, однако в июле в рамках обновления продуктов были выпущены «заплатки» для 334 уязвимостей.
Что же до ликвидации последних багов, то из 301 — 45 имели 9,8 бал. по 10-балльной шкале опасности. Кроме того, в их числе присутствовала уязвимость (CVE-2018-2913), которую оценили в 10 максимальных баллов. Баги со столь большим опасностным уровнем могут эксплуатироваться удаленно, не требуя аутентификации, а использовать их могут хакеры, даже не имеющие глубоких познаний в своей «профессии», поставив под угрозу обеспечение информационной безопасности компании.
Больше информации о ликвидированных уязвимостях можно узнать из отчета на сайте компании. Скажем лишь, что особо опасными с оценкой в 9,8 баллов были признаны баги в Oracle Database Server, Communications, Fusion Middleware, MySQL, Retail, Siebel CRM и т. д.
10-балльная проблема CVE-2018-2913 касается не только отдельных установок Oracle GoldenGate, но и иных продуктов, где ПО может использоваться в роли аддона (DB2, Sybase, MySQL и т. д).
