Атака TokenChpoken на Oracle PeopleSoft угрожает половине крупных коммерческих и государственных компаний

Атака TokenChpoken на Oracle PeopleSoft угрожает множеству крупных компаний

Компания Digital Security, предупреждает, что около половины систем Oracle PeopleSoft, доступных онлайн (42%, 231 сервер) уязвимы к атаке TokenChpoken, представленной Алексеем Тюриным, директором департамента аудита ИБ Digital Security, на конференции Hack In Paris.

Эта атака позволяет вычислить корректный ключ от аутентификационного токена, войти в систему от имени любого пользователя и получить полный доступ. У злоумышленника также появляется возможность взломать другие системы компании и ее партнеров.

В наибольшей опасности те системы, которые все еще используют для аутентификационных токенов пароль по умолчанию. Таких систем около 10 %, но так как они легко находятся через Google, воспользоваться брешью в их защите сможет даже пользователь, не обладающий специальными знаниями.

Среди уязвимых компаний 18 компаний из списка Fortune 500 и 25 из списка крупнейших государственных компаний мира Forbes 2000. Стоит отметить, что к атаке уязвима одна из крупнейших фармацевтических компаний.

Токен обычно расшифровывается брутфорсом за один день на современной видеокарте, которая обойдется злоумышленнику примерно в $ 500. Учитывая, что в организации, использующей PeopleSoft, в среднем 5000 сотрудников, затраты на получение персональных данных каждого из них составляют всего 10 центов! При этом продать такие данные на черном рынке можно примерно за $ 200, так что обнаруженная атака может стать основой для прибыльного бизнеса.

Кроме того, коммерческие и государственные компании постоянно взаимодействуют друг с другом, что на техническом уровне означает обмен разнообразными данными. Теоретически, это подразумевает возможность проникновения в систему субподрядчика. Пример такой атаки через уязвимость в SAP недавно был опубликован в Washington Post.

Исследовательский центр Digital Security опубликовал результаты нового исследования публично доступных приложений Oracle PeopleSoft и их уязвимостей. Эти приложения обычно используются компаниями из списка Fortune 500 и правительственными организациями. Уязвима почти половина компаний, использующих Oracle PeopleSoft HRMS. Более 200 из них могут быть атакованы через Интернет, в том числе 18 компаний из списка Fortune 500 и 25 из списка крупнейших публичных компаний мира Forbes 2000. Продукт Oracle PeopleSoft используется более чем в 7000 компаниях, в том числе, в половине списка Fortune 100.

Статистика ниже была собрана с помощью специальных Google-запросов. Исследование показало, что через Интернет доступны 549 систем PeopleSoft, включая системы, установленные в банках (20 серверов), на производстве (17 серверов) и на предприятиях розничной торговли (24 сервера). Полученные данные мы разделили на три группы: оборонные и государственные организации (64 сервера), коммерческие предприятия (249 серверов, в том числе 169 в США) и образовательные учреждения (236 серверов). Наибольшая доля систем, доступных через Интернет, по сравнению с общим количеством компаний из той или иной отрасли, использующих PeopleSoft, обнаружилась в следующих отраслях:

  • Здравоохранение (35 %)
  • Образование (13 %)
  • Оптовая торговля (7 %)
  • Транспорт (6 %)
  • Розничная торговля (5 %)

Список организаций с наивысшей долей уязвимых PeopleSoft-серверов относительно общего количества серверов, доступных онлайн:

  • Благотворительность (85 %),
  • Продовольствие и сельское хозяйство (83 %)
  • Страхование (67 %)
  • Промышленность (59 %)
  • Розничная торговля (58 %)
  • Транспорт (55 %)
  • Правительственные институты (53 %)
  • Здравоохранение (47 %)
  • Образовательные учреждения (34 %)

Недавняя атака на Управление кадрами правительства США демонстрирует, что кража персональных данных – популярнейшая из современных кибератак. Хотя нам все еще неизвестно, какого рода системы были скомпрометированы и как именно это случилось, есть данные о том, что системы Oracle PeopleSoft используются для хранения информации о сотрудниках в других государственных службах США. Также известно из открытых источников, что Oracle PeopleSoft установлена в таких федеральных агентствах, как Национальный финансовый центр Министерства сельского хозяйства США, Министерство здравоохранения и социальных служб США и Министерство финансов США. Атаки на правительственные системы PeopleSoft могут иметь такие же последствия, как атака на Управление кадрами, или еще более разрушительные.

Стоит отметить, что инсталляция Oracle PeopleSoft обычно представляет собой сложную систему, состоящую из многих приложений. А это значит, что, стоит атакующему получить доступ к слабейшему компоненту системы, через него он сможет с легкостью проникнуть и в остальные компоненты.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Coyote — первый вредонос, который шпионит через Windows UI Automation

Исследователи из Akamai зафиксировали реальное применение новой техники кражи данных — теперь банковский троян Coyote использует функции Windows, предназначенные для людей с ограниченными возможностями, чтобы следить за действиями пользователя.

Речь идёт о Microsoft UI Automation (UIA) — это фреймворк, который позволяет программам вроде экранных дикторов считывать содержимое интерфейса. Идея отличная, но в руках злоумышленников она становится инструментом для кражи логинов и паролей.

Троян Coyote появился в начале 2024 года и изначально использовал классические методы вроде кейлоггинга и фишинговых наложений. Теперь он стал умнее. Если раньше вредонос искал в названии окна упоминание банка или криптобиржи, то теперь он «залезает» в сам интерфейс браузера и вытаскивает оттуда адрес сайта — через UIA.

Если троян находит совпадение с одним из 75 заранее зашитых в него сервисов (банки вроде Banco do Brasil, Santander, CaixaBank, и криптобиржи вроде Binance, Electrum, Foxbit), он начинает активную фазу кражи данных. При этом сам метод UIA пока используется только на этапе разведки, но Akamai уже показала, что через него можно считывать и введённые логины, и пароли.

«Если не удаётся определить цель по заголовку окна, Coyote использует UIA, чтобы добраться до элементов интерфейса — вкладок и адресной строки, — и сравнивает найденное с зашитым списком», — говорится в отчёте Akamai.

 

Изначально Akamai предупреждала о такой уязвимости ещё в декабре 2024 года — тогда это была теоретическая угроза. Теперь она стала реальностью.

Особенность подхода — обход защит EDR. UIA не вызывает подозрений у антивирусов и систем мониторинга, потому что считается частью стандартной функциональности Windows. При этом такие же проблемы есть и в Android — там службы доступности давно используются в вредоносах, и Google уже не первый год борется с этой лазейкой.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru