Атака TokenChpoken на Oracle PeopleSoft угрожает множеству крупных компаний

Компания Digital Security, предупреждает, что около половины систем Oracle PeopleSoft, доступных онлайн (42%, 231 сервер) уязвимы к атаке TokenChpoken, представленной Алексеем Тюриным, директором департамента аудита ИБ Digital Security, на конференции Hack In Paris.

Эта атака позволяет вычислить корректный ключ от аутентификационного токена, войти в систему от имени любого пользователя и получить полный доступ. У злоумышленника также появляется возможность взломать другие системы компании и ее партнеров.

В наибольшей опасности те системы, которые все еще используют для аутентификационных токенов пароль по умолчанию. Таких систем около 10 %, но так как они легко находятся через Google, воспользоваться брешью в их защите сможет даже пользователь, не обладающий специальными знаниями.

Среди уязвимых компаний 18 компаний из списка Fortune 500 и 25 из списка крупнейших государственных компаний мира Forbes 2000. Стоит отметить, что к атаке уязвима одна из крупнейших фармацевтических компаний.

Токен обычно расшифровывается брутфорсом за один день на современной видеокарте, которая обойдется злоумышленнику примерно в $ 500. Учитывая, что в организации, использующей PeopleSoft, в среднем 5000 сотрудников, затраты на получение персональных данных каждого из них составляют всего 10 центов! При этом продать такие данные на черном рынке можно примерно за $ 200, так что обнаруженная атака может стать основой для прибыльного бизнеса.

Кроме того, коммерческие и государственные компании постоянно взаимодействуют друг с другом, что на техническом уровне означает обмен разнообразными данными. Теоретически, это подразумевает возможность проникновения в систему субподрядчика. Пример такой атаки через уязвимость в SAP недавно был опубликован в Washington Post.

Исследовательский центр Digital Security опубликовал результаты нового исследования публично доступных приложений Oracle PeopleSoft и их уязвимостей. Эти приложения обычно используются компаниями из списка Fortune 500 и правительственными организациями. Уязвима почти половина компаний, использующих Oracle PeopleSoft HRMS. Более 200 из них могут быть атакованы через Интернет, в том числе 18 компаний из списка Fortune 500 и 25 из списка крупнейших публичных компаний мира Forbes 2000. Продукт Oracle PeopleSoft используется более чем в 7000 компаниях, в том числе, в половине списка Fortune 100.

Статистика ниже была собрана с помощью специальных Google-запросов. Исследование показало, что через Интернет доступны 549 систем PeopleSoft, включая системы, установленные в банках (20 серверов), на производстве (17 серверов) и на предприятиях розничной торговли (24 сервера). Полученные данные мы разделили на три группы: оборонные и государственные организации (64 сервера), коммерческие предприятия (249 серверов, в том числе 169 в США) и образовательные учреждения (236 серверов). Наибольшая доля систем, доступных через Интернет, по сравнению с общим количеством компаний из той или иной отрасли, использующих PeopleSoft, обнаружилась в следующих отраслях:

• Здравоохранение (35 %)
• Образование (13 %)
• Оптовая торговля (7 %)
• Транспорт (6 %)
• Розничная торговля (5 %)

Список организаций с наивысшей долей уязвимых PeopleSoft-серверов относительно общего количества серверов, доступных онлайн:

• Благотворительность (85 %),
• Продовольствие и сельское хозяйство (83 %)
• Страхование (67 %)
• Промышленность (59 %)
• Розничная торговля (58 %)
• Транспорт (55 %)
• Правительственные институты (53 %)
• Здравоохранение (47 %)
• Образовательные учреждения (34 %)

Недавняя атака на Управление кадрами правительства США демонстрирует, что кража персональных данных – популярнейшая из современных кибератак. Хотя нам все еще неизвестно, какого рода системы были скомпрометированы и как именно это случилось, есть данные о том, что системы Oracle PeopleSoft используются для хранения информации о сотрудниках в других государственных службах США. Также известно из открытых источников, что Oracle PeopleSoft установлена в таких федеральных агентствах, как Национальный финансовый центр Министерства сельского хозяйства США, Министерство здравоохранения и социальных служб США и Министерство финансов США. Атаки на правительственные системы PeopleSoft могут иметь такие же последствия, как атака на Управление кадрами, или еще более разрушительные.

Стоит отметить, что инсталляция Oracle PeopleSoft обычно представляет собой сложную систему, состоящую из многих приложений. А это значит, что, стоит атакующему получить доступ к слабейшему компоненту системы, через него он сможет с легкостью проникнуть и в остальные компоненты.