На конференции по ИБ BlackHat в Лас-Вегасе, где ежегодно публикуются новейшие уникальные исследования, эксперты российской Digital Security представили первый и единственный в отрасли отчет об уязвимостях в Oracle PeopleSoft. Технический директор Digital Security Александр Поляков и директор департамента аудита ИБ Алексей Тюрин провели семинар, посвященный новым техникам оценки безопасности бизнес-систем, включая Oracle PeopleSoft. Данное решение весьма популярно сегодня, оно используется во многих больших компаниях, в том числе, AARP, Caterpillar Inc., Daimler, Franklin Templeton Investments, Washington University in St. Louis, Westfield, Verizon. Система Oracle PeopleSoft сочетает в себе функции управления логистической цепочкой, человеческими ресурсами, взаимоотношениями с поставщиками и многим другим. Решение установлено более чем в 6000 предприятий (57 % списка Fortune 100) и служит более чем 20 миллионам людей по всему миру. Большинство приложений PeopleSoft подключено к Интернету: с помощью несложного запроса в Google можно найти около 500 приложений PeopleSoft, а в Shodan еще больше. Таким образом, злоумышленники могут украсть персональные данные более чем 20 миллионов людей. Обнаруженные в Oracle PeopleSoft уязвимости позволяют третьим лицам получить доступ в систему и завладеть критичными данными о персонале или поставщиках, вплоть до номеров социального страхования и, возможно, даже данных о держателях карт. Разумеется, возможна не только кража данных, но и вызов отказа в обслуживании корпоративной системы или подмена критичных данных, включая информацию о банковских счетах. Большая часть упомянутых проблем была оперативно исправлена Oracle менее чем за три недели, после того, как эксперты Digital Security сообщили представителям корпорации, что данные об уязвимостях будут обнародованы на BlackHat. Следует подчеркнуть, что согласно собранной Digital Security статистике по исправлению ошибок в бизнес-приложениях, таких как SAP, обнаруженные проблемы могут годами оставаться актуальными, так как их не исправляют вовремя. «Мы говорили как о старых проблемах, так и о новых. Старая уязвимость была очень критичной, и мы не рассказывали о ней целых 4 года. Эта уязвимость, исправленная в январе 2011 года, позволяла осуществить отказ в обслуживании с помощью одного HTTP-запроса на странице входа в приложения PeopleSoft», – сообщил Александр Поляков. «Новые проблемы безопасности обнаружились в веб-сервисах Oracle в ходе одного из наших коммерческих тестов на проникновение и были переданы Oracle всего за три недели до выпуска патча. Как ни странно, все они были закрыты этим патчем – очевидно, потому, что мы пообещали рассказать об этих уязвимостях на BlackHat. Сочетание уязвимостей XML, архитектурных проблем и таких особенностей конфигурации, как хранение паролей в открытом виде, позволяло получить полный доступ к системе», – подчеркнул Алексей Тюрин. Следует отметить, что речь идет о высокоуровневом исследовании, где не ставилась задача найти все существующие проблемы. Целью данной работы являлся обзор безопасности системы Oracle PeopleSoft в целом с указанием основных недостатков. Исследователи Digital Security продемонстрировали, как должен выглядеть процесс оценки безопасности таких больших и важных приложений, как SAP, Oracle и Microsoft. Эта работа – часть крупного проекта под названием EAS-SEC (старое название – OWASP-EAS), посвященного защищенности различных бизнес-приложений и формированию соответствующих рекомендаций. На семинаре были выделены 9 крупных областей для оценки безопасности, включая исправление уязвимостей, учетные записи по умолчанию, критичные сервисы, контроль доступа и т. д. Исследователи также провели живую демонстрацию недавно обнаруженных критичных уязвимостей. На конференции BlackHat была выпущена утилита ERPScan Pentesting Tool и руководство по проведению тестов на проникновение приложений Oracle PeopleSoft. На выставочном стенде ERPScan, дочерней компании Digital Security, проводилась живая демонстрация обнаруженных уязвимостей и новой утилиты.
Источник