Детали уязвимости были частично раскрыты ещё 2 года назад на конференции BlackHat в Вашингтоне, где Александр Поляков (технический директор Digital Security) рассматривал архитектурные проблемы разных бизнес-приложений, а сама проблема была обнаружена ещё годом ранее в рамках одного из проектов по аудиту защищённости ERP-системы JD Edwards.
Проблема заключается в том, что файл конфигураций JDE.INI, в котором, кроме всего прочего, хранятся аутентификационные данные пользователей для подключения к СУБД, зачастую присутствует на рабочих станциях пользователей, что позволяет любому легитимному пользователю при желании получить полный доступ к ERP-системе.
«По непонятным причинам Oracle занизила CVSS-рейтинг опасности данной уязвимости (что, кстати, происходит уже не в первый раз). В то время как для стандартных уязвимостей этот рейтинг показывает адекватные результаты, для некоторых нетипичных уязвимостей он оказывается не совсем точным. Учитывая, что разработчик может сжульничать, например, указав частичное влияние на КЦД вместо полного, критичной уязвимости в итоге присваивается рейтинг 3.5 (низкая критичность). В действительности же уязвимость, позволяющую любому пользователю ERP-системы получить доступ ко всем данным и присвоить себе любые права, сложно назвать низкой», – возмутился Александр Поляков.
Стоит отметить, что эта проблема поднималась и коллегами из компании ApplicationSecurity в интервью на PCWorld:
“Oracle likes to downplay the risk of its vulnerabilities," said Alex Rothacker, director of security research for AppSec. As a result, organizations using Oracle's vulnerability ratings to prioritize system updates may unduly delay applying some critical patches, he said.
Процесс аутентификации в системе JD Edwards реализован так.
1) Пользователь вводит своё имя (например, APPUSER) и пароль (например, APPASSWORD) в клиентском приложении.
2) Клиентское приложение пытается подключиться напрямую к СУБД JD Edwards, используя имя пользователя JDE (по умолчанию) и пароль для этого пользователя, который читается с конфигурационного файла клиентской рабочей станции JDE.INI (пароль хранится в поле “SECURITY” и по умолчанию имеет значение JDE).
3) Получив прямой доступ к СУБД, клиентское приложение проверяет пароль пользователя APPUSER в таблице F98OWSEC, и если пароль подходит, то отрисовывает интерфейс пользователя на основе его ролей из таблицы APPUSERS.
Такого рода аутентификация не выдерживает никакой критики, так как реализуется, по сути, на клиенте. Если злоумышленник получил доступ к рабочей станции пользователя, сам является инсайдером или может перехватывать трафик между клиентом и сервером (например, в старых версиях MSSQL пароль элементарно расшифровывается при помощи утилиты CAIN &ABEL), то он получит аутентификационные данные пользователя JDE, который имеет административные права в СУБД. Дальнейшие его действия ограничены только фантазией.
Ранее в качестве временных рекомендаций значилось настройка на рабочей станции прав доступа к файлу JDE.IN (не лучший способ). Сейчас, спустя 3 года с момента обнаружения, проблема устранена, и пользователи могут скачать официальное обновление с сайта Oracle. Правда, вопрос о том, как именно была исправлена уязвимость, остаётся открытым.
