Digital Security помогла корпорации Oracle в устранении опасной уязвимости

Digital Security помогла корпорации Oracle в устранении опасной уязвимости

Детали уязвимости были частично раскрыты ещё 2 года назад на конференции BlackHat в Вашингтоне, где Александр Поляков (технический директор Digital Security) рассматривал архитектурные проблемы разных бизнес-приложений, а сама проблема была обнаружена ещё годом ранее в рамках одного из проектов по аудиту защищённости ERP-системы JD Edwards.

Проблема заключается в том, что файл конфигураций JDE.INI, в котором, кроме всего прочего, хранятся аутентификационные данные пользователей для подключения к СУБД, зачастую присутствует на рабочих станциях пользователей, что позволяет любому легитимному пользователю при желании получить полный доступ к ERP-системе.

«По непонятным причинам Oracle  занизила  CVSS-рейтинг опасности данной уязвимости (что, кстати, происходит уже не в первый раз). В то время как для стандартных уязвимостей этот рейтинг показывает адекватные результаты, для некоторых нетипичных уязвимостей он оказывается не совсем точным. Учитывая, что разработчик может сжульничать, например, указав частичное влияние на КЦД вместо полного, критичной уязвимости в итоге присваивается  рейтинг 3.5 (низкая критичность). В действительности же уязвимость, позволяющую любому пользователю  ERP-системы получить доступ ко всем данным и присвоить себе любые права, сложно назвать низкой», – возмутился Александр Поляков.

Стоит отметить, что эта проблема поднималась и коллегами из компании ApplicationSecurity в интервью на PCWorld:

“Oracle likes to downplay the risk of its vulnerabilities," said Alex Rothacker, director of security research for AppSec. As a result, organizations using Oracle's vulnerability ratings to prioritize system updates may unduly delay applying some critical patches, he said.

Процесс аутентификации в системе JD Edwards реализован так.

1) Пользователь вводит своё имя (например, APPUSER) и пароль (например, APPASSWORD) в клиентском приложении.

2) Клиентское приложение пытается подключиться напрямую к  СУБД JD Edwards, используя имя пользователя JDE (по умолчанию) и пароль для этого пользователя, который читается с конфигурационного файла клиентской рабочей станции JDE.INI  (пароль хранится в поле “SECURITY” и по умолчанию имеет значение JDE).

3) Получив прямой доступ к СУБД, клиентское приложение проверяет пароль пользователя APPUSER в таблице F98OWSEC, и если пароль подходит, то отрисовывает интерфейс пользователя на основе его ролей из таблицы  APPUSERS.

Такого рода аутентификация не выдерживает никакой критики, так как реализуется, по сути, на клиенте. Если злоумышленник получил доступ к рабочей станции пользователя, сам является инсайдером или может перехватывать трафик между клиентом и сервером (например, в старых версиях MSSQL пароль элементарно расшифровывается при помощи утилиты CAIN &ABEL), то он получит аутентификационные данные пользователя JDE, который имеет административные права в СУБД. Дальнейшие его действия ограничены только фантазией.

Ранее в качестве временных рекомендаций значилось настройка на рабочей станции прав доступа к файлу JDE.IN (не лучший способ). Сейчас, спустя 3 года с  момента обнаружения, проблема устранена, и пользователи могут скачать официальное обновление с сайта Oracle. Правда, вопрос о том, как именно была исправлена уязвимость, остаётся открытым.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники стали в 16 раз чаще звонить с поддельных номеров из-за рубежа

За последнюю неделю количество фейковых звонков с иностранных номеров в Россию выросло в 16 раз. Об этом рассказали в Сбере. Всплеск удалось заметить в том числе благодаря пользователям, которые отправляли жалобы через раздел «Сообщи о мошеннике» в приложении СберБанк Онлайн.

Такие звонки — не новость: злоумышленники давно используют облачные АТС, где можно быстро взять в аренду номер с кодом другой страны.

Чаще всего — европейских. Иногда — стран с «похожими» номерами (например, +84 95), чтобы выглядело более правдоподобно. Всё это делается через IP-телефонию, что позволяет обходиться без операторов сотовой связи и затрудняет блокировку.

Зампред правления Сбера Станислав Кузнецов отметил, что несмотря на резкий рост таких звонков, в общем объёме мошеннических вызовов их пока немного. Антифрод-система банка их фиксирует и ставит подозрительные операции на усиленный контроль — благодаря этому удаётся избегать хищений.

Но в банке всё равно призывают не терять бдительность:

«Если вам звонят с незнакомого номера из-за границы — просто не отвечайте. Если у вас нет родных или деловых контактов за рубежом, то такие звонки почти наверняка мошеннические».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru