HRM-системы Oracle PeopleSoft взломаны на BlackHat в Лас-Вегасе

HRM-системы Oracle PeopleSoft взломаны на BlackHat в Лас-Вегасе

Система Oracle PeopleSoft сочетает в себе функции управления логистической цепочкой, человеческими ресурсами, взаимоотношениями с поставщиками и многим другим. Решение установлено более чем в 6000 предприятий (57 % списка Fortune 100) и служит более чем 20 миллионам людей по всему миру. Большинство приложений PeopleSoft подключено к Интернету: с помощью несложного запроса в Google можно найти около 500 приложений PeopleSoft, а в Shodan еще больше.

Таким образом, злоумышленники могут украсть персональные данные более чем 20 миллионов людей. Обнаруженные в Oracle PeopleSoft уязвимости позволяют третьим лицам получить доступ в систему и завладеть критичными данными о персонале или поставщиках, вплоть до номеров социального страхования и, возможно, даже данных о держателях карт. Разумеется, возможна не только кража данных, но и вызов отказа в обслуживании корпоративной системы или подмена критичных данных, включая информацию о банковских счетах.

Большая часть упомянутых проблем была оперативно исправлена Oracle менее чем за три недели, после того, как эксперты Digital Security сообщили представителям корпорации, что данные об уязвимостях будут обнародованы на BlackHat. Следует подчеркнуть, что согласно собранной Digital Security статистике по исправлению ошибок в бизнес-приложениях, таких как SAP, обнаруженные проблемы могут годами оставаться актуальными, так как их не исправляют вовремя.

"Мы говорили как о старых проблемах, так и о новых. Старая уязвимость была очень критичной, и мы не рассказывали о ней целых 4 года. Эта уязвимость, исправленная в январе 2011 года, позволяла осуществить отказ в обслуживании с помощью одного HTTP-запроса на странице входа в приложения PeopleSoft", – сообщил Александр Поляков.

"Новые проблемы безопасности обнаружились в веб-сервисах Oracle в ходе одного из наших коммерческих тестов на проникновение и были переданы Oracle всего за три недели до выпуска патча. Как ни странно, все они были закрыты этим патчем – очевидно, потому, что мы пообещали рассказать об этих уязвимостях на BlackHat. Сочетание уязвимостей XML, архитектурных проблем и таких особенностей конфигурации, как хранение паролей в открытом виде, позволяло получить полный доступ к системе", – подчеркнул Алексей Тюрин.

Следует отметить, что речь идет о высокоуровневом исследовании, где не ставилась задача найти все существующие проблемы. Целью данной работы являлся обзор безопасности системы Oracle PeopleSoft в целом с указанием основных недостатков.

"Наша специализация – безопасность критичных бизнес-приложений, в которых хранится вся жизненно важная для крупных компаний информация. Полученные в результате исследований неконфеденциальные данные мы с удовольствием публикуем в открытых источниках", – объяснил Александр Поляков.

На семинаре "Практический пентестинг ERP-систем и бизнес-приложений" исследователи Digital Security продемонстрировали, как должен выглядеть процесс оценки безопасности таких больших и важных приложений, как SAP, Oracle и Microsoft. Эта работа – часть крупного проекта под названием EAS-SEC (старое название – OWASP-EAS), посвященного защищенности различных бизнес-приложений и формированию соответствующих рекомендаций. На семинаре были выделены 9 крупных областей для оценки безопасности, включая исправление уязвимостей, учетные записи по умолчанию, критичные сервисы, контроль доступа и т. д. Исследователи также провели живую демонстрацию недавно обнаруженных критичных уязвимостей.

На конференции BlackHat была выпущена утилита ERPScan Pentesting Tool и руководство по проведению тестов на проникновение приложений Oracle PeopleSoft. На выставочном стенде ERPScan, дочерней компании Digital Security, проводилась живая демонстрация обнаруженных уязвимостей и новой утилиты.

Digital Security – одна из ведущих российских консалтинговых компаний в области информационной безопасности. Digital Security предоставляет широкий спектр услуг в области оценки защищенности, включая комплексный аудит ИБ, тестирование на проникновение, аудит защищенности бизнес-приложений (SAP, Oracle, веб-приложения, системы ДБО), аудит защищенности АСУ ТП и SCADA. Digital Security имеет статус PCI QSA и PA QSA. Финансовым организациям компания оказывает полный комплекс услуг по достижению соответствия Стандарту безопасности данных индустрии платежных карт (PCI DSS). С 2002 года клиентами Digital Security стали более 500 компаний на всей территории России, стран СНГ и Балтии, а также в Восточной Европе, Германии и ЮАР. Со многими из них за это время сложились долгосрочные партнерские отношения.

Digital Security является официальным сервис-партнером SAP AG, международным лидером по поиску и анализу уязвимостей в продуктах SAP, а также разработчиком ERPScan Security Monitoring Suite – инновационного продукта по комплексной оценке защищенности и проверке соответствия стандартам для платформы SAP.

ITSeck.ru по материалам Digital Security