50% van de Oracle EBS klanten heeft kritieke patch nog niet geïnstalleerd

Cybersecurity bedrijf Onapsis heeft deze week een rapport uitgebracht met technische details over de kwetsbaarheden in Oracle E-Business Suite (EBS) die het bedrijf heeft gerapporteerd aan Oracle, voordat deze kwetsbaarheden bekend werden gemaakt in januari 2020 met het uitbrengen van de Oracle critical patch update (CPU) van januari.

Oracle EBS bestaat uit een geïntegreerde groep van applicaties die gericht zijn op het automatiseren van CRM, ERP en SCM operaties voor organisaties. Wanneer je bedrijfsoperaties en beveiliging van gevoelige data vertrouwen op EBS, is het daarom extra belangrijk dat deze recent is geüpdatet en dat de laatst beschikbare versie van de software wordt gedraaid.

 De kwetsbaarheden

De twee kritieke kwetsbaarheden hebben de naam “BigDebIT” gekregen met een CVSS v3 score van 9.9. Ondanks dat Oracle al in januari een critical patch update (CPU) heeft uitgebracht, zijn er naar schatting nog 50% van de Oracle EBS klanten die de patches op dit moment nog niet hebben uitgerold.

De kwetsbaarheden kunnen misbruikt worden door kwaadwillende actoren die zich richten op accountancy tools zoals General Ledger. Dit met het doel om gevoelige informatie te stelen en financiële fraude te plegen.

“Een ongeauthentiseerde hacker kan een automatische exploit uitvoeren op de General Ledger module, om vervolgens bedrijfsmiddelen (zoals geld) weg te halen van het bedrijf en aanpassingen aan accountancy tabellen te doen, zonder een spoor achter te laten”, volgens de onderzoekers van Onapsis.

Oracle EBS software hacking

“Succesvol misbruik van de kwetsbaarheid kan ervoor zorgen dat een aanvaller financiële gegevens steelt en vertragingen in financiële rapporten gerelateerd aan de compliance processen van een organisatie”, voegen de onderzoekers eraan toe.

Ook is het belangrijk om te melden dat de BIGDebIT aanvalsfactoren aansluiten bij de PAYDAY kwetsbaarheden in EBS. Deze kwetsbaarheden zijn 3 jaar geleden door Onapsis ontdekt, waarvoor Oracle in April 2019 patches heeft uitgebracht.

Welke versies zijn kwetsbaar?

Het betreft hier de volgende versies van Oracle E-Business Suite (EBS):

  • Versie 12.2.3 t/m 12.2.9;
  • Versie 12.1.1 t/m 12.1.3.

Meer informatie over de kwetsbaarheden

De kwetsbaarheden hebben CVE-2020-2586 en CVE-2020-2587 toegewezen gekregen en bevinden zich in de Oracle Human Resources Management System (HRMS) in een component met de naam “Hierarchy Diagrammer“. Dit component zorgt ervoor dat gebruikers een organisatie kunnen aanmaken met daarbij een hiërarchie met functies.  Deze kwetsbaarheden kunnen samen misbruikt worden, zelfs wanneer klanten de patches van April 2019 hebben uitgerold.

“Het verschil is dat met deze patches er is bevestigd dat zelfs wanneer de systemen up-to-date zijn, ze nog steeds kwetsbaar zijn voor deze aanvallen en daarom heeft het prioriteit om de CPU van januari te installeren”, dit heeft het bedrijf aangegeven in een blog in januari.

Een van de grootste consequenties, wanneer de patches niet worden doorgevoerd, is de mogelijkheid van financiële fraude en vertrouwelijke informatie kan worden gestolen door een aanval op de accountancy systemen.

De Oracle General Ledger is een geautomatiseerde financiële verwerkingssoftware die wordt gebruikt als repository voor accountancy informatie en maakt onderdeel uit van de EBS. General Ledger wordt ook gebruikt voor het genereren van financiële rapporten en het uitvoeren van audits.

Een aanvaller kan dit vertrouwen breken door misbruik te maken van de kwetsbaarheden en kritieke rapporten aan te passen in de Ledger, onder andere door transacties te manipuleren op de balans schema’s van een organisatie.

“Als voorbeeld, kan een aanvaller het Trial Balance Report aanpassen, welke een samenvatting maakt van accountancy balansen in een opgegeven periode, virtueel is deze aanpassing niet te zien, dit zorgt ervoor dat er onjuiste gerapporteerde resultaten zijn, welke onopgemerkt in financiële verklaringen terecht komen. Dit kan mogelijk resulteren in onjuist gevulde of gerapporteerde financiële resultaten,” geeft Onapsis aan.

Waarom is het belangrijk om te patchen?

Aangezien er een groot financieel risico bij betrokken is, is het sterk aan te bevelen voor alle bedrijven die gebruik maken van Oracle EBS om z.s.m. een beoordeling uit te voeren dat de organisatie niet blootgesteld is aan deze kwetsbaarheden en wanneer dit wel het geval is de CPU patches te installeren om deze kwetsbaarheden te verhelpen.

“Organisaties moeten ervan op de hoogte zijn dat GRC-tooling en andere traditionele security methodieken (onder andere firewalls, toegangscontrole en het scheiden van taken) niet effectief zijn in het voorkomen van dit type van aanvallen op kwetsbare Oracle EBS systemen,” geven de onderzoekers aan.

“Wanneer organisaties hun Oracle EBS systemen hebben die benaderbaar zijn vanaf het internet, dan is de potentiële dreiging vele malen groter. Organisaties die worden aangevallen, zullen niet weten hoe groot de schade is, totdat er bewijs is gevonden bij een hele uitgebreide interne of externe audit.”

Advies

Er wordt geadviseerd aan iedereen die dit nog niet gedaan heeft om de CPU patches van januari te installeren. Om zo niet meer kwetsbaar te zijn voor de ernstige BIGDebIT kwetsbaarheden en ook 21 andere kwetsbaarheden in de Oracle E-Business Suite.

Verder zijn er in april 2020 ook CPU patches uitgebracht voor 74 kwetsbaarheden in de Oracle E-Business Suite, welke ook geïnstalleerd kunnen worden.

Eerdere berichten

Ander Cybersecurity nieuws lezen? Bekijk ook eens onze andere recente berichten:

Nieuwe kritieke kwetsbaarheid SMBleed te combineren met SMBGhost
Nieuwe Insider Threats door thuiswerken

Gerelateerde berichten

cisco

Onderzoeker onthult kritieke RCE-tekortkomingen in Cisco Security Manager

Ransomware

Gestolen data na een ransomware aanval wordt niet altijd verwijderd

Oracle

Oracle brengt noodpatch uit voor kritieke kwetsbaarheid in WebLogic Server

Microsoft 365

Grootste gedeelte van Microsoft 365 administrators activeert MFA niet

RYUK ransomware

Ryuk ransomware gang maakt gebruikt van Zerologon voor zeer snelle aanval

emotet

Nieuwe Emotet aanval met neppe Windows updates

Android ransomware

Nieuwe Android ransomware wordt door Microsoft voor gewaarschuwd

QR code

QR codes zijn handig, maar ook een Cybersecurity dreiging

Microsoft

Grote toename in pogingen tot misbruik Zerologon kwetsbaarheid in 1 week tijd

security awareness training

Security Awareness trainingen moeten regelmatig herhaald worden

Microsoft

Zerologon kritieke kwetsbaarheid in Windows Server maakt het mogelijk om domain controllers over te nemen

Microsoft

Kritieke kwetsbaarheid CVE-2020-16875 in Microsoft Exchange maakt RCE mogelijk

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

veertien − een =

Menu