freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Oracle EBS的新漏洞可以更改财务记录
2020-06-18 17:05:02

Oracle解决了其电子商务套件(EBS)业务管理解决方案中的两个安全漏洞,这些漏洞可能使攻击者能够进行广泛的恶意活动,包括篡改组织的财务记录。

Oracle EBS当前在全球成千上万的组织中使用,其总帐管理系统(Oracle General Ledger)是一种自动财务处理软件,可作为会计信息的存储库,并作为E-Business Suite(该公司的集成应用程序套件)的一部分提供,该套件涵盖企业资源计划(ERP),供应链管理(SCM),和客户关系管理(CRM),用户可以将其实施到自己的业务中。

总帐管理系统还可以用于生成公司财务报告以及进行审计,以确保公司能遵守2002年的SOX法案。

oracle.jpg

然而企业网络安全公司Onapsis在The Hacker News上分享的报告中,披露了Oracle电子商务套件(EBS)中的存在的一些技术漏洞细节。

其中这个被称为“ BigDebIT ”的漏洞,可能允许攻击者执行广泛的入侵活动,其中就包括篡改公司的财务记录。

好在CVE-2020-2586和CVE-2020-2587以及被称为“ BigDebIT”的漏洞已被Oracle公司于2020年1月修复。

但是该公司表示,截至目前为止,约有50%的Oracle EBS客户尚未更新漏洞补丁,所以依然有大量易受攻击的Oracle系统暴露在网上。

如果您的业务运营和敏感数据的安全性依赖于Oracle的E-Business Suite(EBS),强烈建议立即进行评估测试,以确保不会受到这些涉及财务风险漏洞的影响,并及时下载该软件的最新版本。 oracle-software-hacking.jpg

研究人员称,不良行为者可能会利用这些安全漏洞来针对会计工具(例如General Ledger),来窃取敏感信息并进行财务欺诈,并且不会留下任何痕迹。

Onapsis证明: “一旦财务报告期结束,财务数据就不会更改。如果攻击者在关闭期间和审计期间修改总账报告,将对公司及其合规流程造成严重损害”,即使在财务报告期结束后,未经身份验证的远程攻击者也可以利用BigDebIT漏洞来更改财务报告,从而绕过现有的安全解决方案并隐藏其活动。

 “公司需要意识到,Oracle EBS的系统易受此类入侵,当前的GRC工具和其他传统安全方法(防火墙,访问控制,SoD和其他方法)都无法有效地防止攻击。”

黑客如果利用该漏洞篡改数据,用户很难(甚至不可能)发现到底是黑客篡改的还是实际业务的数值,除非通过非常广泛的内部或外部审核找到证据,才能解释为什么财务余额与系统数据不匹配,所以请使用这个系统的用户不要掉以轻心,建议马上对数据进行备份,并采取相应的安全措施。

参考链接

https://securityaffairs.co/wordpress/104840/hacking/bigdebit-flaws-oracle-ebs.html

*本文作者:日影飞趣,转载请注明来自FreeBuf.COM 

# 财务记录 # BigDebIT漏洞 # Oracle General Ledger
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者