Атака TokenChpoken на Oracle PeopleSoft угрожает множеству крупных компаний

Компания Digital Security, предупреждает, что около половины систем Oracle PeopleSoft, доступных онлайн (42%, 231 сервер) уязвимы к атаке TokenChpoken, представленной Алексеем Тюриным, директором департамента аудита ИБ Digital Security, на конференции Hack In Paris.

Эта атака позволяет вычислить корректный ключ от аутентификационного токена, войти в систему от имени любого пользователя и получить полный доступ. У злоумышленника также появляется возможность взломать другие системы компании и ее партнеров.

В наибольшей опасности те системы, которые все еще используют для аутентификационных токенов пароль по умолчанию. Таких систем около 10 %, но так как они легко находятся через Google, воспользоваться брешью в их защите сможет даже пользователь, не обладающий специальными знаниями.

Среди уязвимых компаний 18 компаний из списка Fortune 500 и 25 из списка крупнейших государственных компаний мира Forbes 2000. Стоит отметить, что к атаке уязвима одна из крупнейших фармацевтических компаний.

Токен обычно расшифровывается брутфорсом за один день на современной видеокарте, которая обойдется злоумышленнику примерно в $ 500. Учитывая, что в организации, использующей PeopleSoft, в среднем 5000 сотрудников, затраты на получение персональных данных каждого из них составляют всего 10 центов! При этом продать такие данные на черном рынке можно примерно за $ 200, так что обнаруженная атака может стать основой для прибыльного бизнеса.

Кроме того, коммерческие и государственные компании постоянно взаимодействуют друг с другом, что на техническом уровне означает обмен разнообразными данными. Теоретически, это подразумевает возможность проникновения в систему субподрядчика. Пример такой атаки через уязвимость в SAP недавно был опубликован в Washington Post.

Исследовательский центр Digital Security опубликовал результаты нового исследования публично доступных приложений Oracle PeopleSoft и их уязвимостей. Эти приложения обычно используются компаниями из списка Fortune 500 и правительственными организациями. Уязвима почти половина компаний, использующих Oracle PeopleSoft HRMS. Более 200 из них могут быть атакованы через Интернет, в том числе 18 компаний из списка Fortune 500 и 25 из списка крупнейших публичных компаний мира Forbes 2000. Продукт Oracle PeopleSoft используется более чем в 7000 компаниях, в том числе, в половине списка Fortune 100.

Статистика ниже была собрана с помощью специальных Google-запросов. Исследование показало, что через Интернет доступны 549 систем PeopleSoft, включая системы, установленные в банках (20 серверов), на производстве (17 серверов) и на предприятиях розничной торговли (24 сервера). Полученные данные мы разделили на три группы: оборонные и государственные организации (64 сервера), коммерческие предприятия (249 серверов, в том числе 169 в США) и образовательные учреждения (236 серверов). Наибольшая доля систем, доступных через Интернет, по сравнению с общим количеством компаний из той или иной отрасли, использующих PeopleSoft, обнаружилась в следующих отраслях:

  • Здравоохранение (35 %)
  • Образование (13 %)
  • Оптовая торговля (7 %)
  • Транспорт (6 %)
  • Розничная торговля (5 %)

Список организаций с наивысшей долей уязвимых PeopleSoft-серверов относительно общего количества серверов, доступных онлайн:

  • Благотворительность (85 %),
  • Продовольствие и сельское хозяйство (83 %)
  • Страхование (67 %)
  • Промышленность (59 %)
  • Розничная торговля (58 %)
  • Транспорт (55 %)
  • Правительственные институты (53 %)
  • Здравоохранение (47 %)
  • Образовательные учреждения (34 %)

Недавняя атака на Управление кадрами правительства США демонстрирует, что кража персональных данных – популярнейшая из современных кибератак. Хотя нам все еще неизвестно, какого рода системы были скомпрометированы и как именно это случилось, есть данные о том, что системы Oracle PeopleSoft используются для хранения информации о сотрудниках в других государственных службах США. Также известно из открытых источников, что Oracle PeopleSoft установлена в таких федеральных агентствах, как Национальный финансовый центр Министерства сельского хозяйства США, Министерство здравоохранения и социальных служб США и Министерство финансов США. Атаки на правительственные системы PeopleSoft могут иметь такие же последствия, как атака на Управление кадрами, или еще более разрушительные.

Стоит отметить, что инсталляция Oracle PeopleSoft обычно представляет собой сложную систему, состоящую из многих приложений. А это значит, что, стоит атакующему получить доступ к слабейшему компоненту системы, через него он сможет с легкостью проникнуть и в остальные компоненты.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Центр расследований InfoWatch поможет ускорить работу ИБ-служб в 3 раза

ГК InfoWatch представила новый ИБ-продукт корпоративного класса. Центр расследований представляет собой интерфейсное решение, позволяющее работать с данными всей линейки InfoWatch по защите информации в одном окне.

Объединение событий DLP-системы, информации с модулей Activity Monitor, Data Discovery, Vision, Prediction в общем интерфейсном пространстве облегчит работу специалистов ИБ, особенно в компаниях с большим штатом и солидными объемами данных.

Новинка заточена под Linux и совместима со всеми отечественными ОС. В тестировании принимали участие профильные сотрудники компаний-клиентов и эксперты рынка. По отзывам, Центр расследований InfoWatch позволяет в три раза сократить интервал между появлением первых подозрений и принятием решения.

Основные возможности, предоставляемые пользователю:

  • работа с набором релевантных данных из единой консоли и в одном окне;
  • фильтрация данных, переключение между разными срезами в интерактивном режиме, с сохранением контекста расследования;
  • сопоставление данных из разных источников, поиск взаимосвязей с помощью интерактивных инструментов.

«У организаций часто не хватает ИБ-ресурсов даже на разбор всех инцидентов за день, — комментирует руководитель направления InfoWatch Employee Monitoring Сергей Кузьмин. — Мы поставили перед собой задачу максимально упростить для ИБ-специалиста сбор информации и помочь ему сконцентрироваться на проведении расследований и принятии решений. Так мы пришли к разработке Центра расследований — единого информационного пространства с оперативным доступом к максимально полному набору данных».

Благодаря выпуску Центра расследований InfoWatch Traffic Monitor, по словам разработчиков, теперь будет объединять все технологии DLP нового поколения:

  • контроль всех необходимых каналов передачи данных;
  • точное детектирование конфиденциальной информации;
  • автоматизированную настройку;
  • интерактивную визуализацию;
  • поведенческую аналитику.

Особая лицензия для Центра расследований не нужна, он доступен всем клиентам InfoWatch в рамках регулярного обновления любого продукта линейки по защите информации. Решение работает с учетом возможностей конкретной DLP-установки, и кастомные настройки ему не помеха.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru