se94se欧美,又粗又硬又爽又黄毛片,亚洲一在线

甲骨文 EBS 漏洞可讓黑客隨便“印鈔”

責編：gltian ｜2019-11-22 13:43:00

50% 的客戶未打補丁……

安全公司 Onapsis 稱，在甲骨文公司電子商務套件 (EBS: E-Business Suite) 中發現一系列關鍵漏洞，可致攻擊者獲得電子轉賬和打印銀行支票的控制權，且其行為無法檢測與追蹤。

該攻擊鏈利用了兩個主要漏洞，位于波士頓的網絡安全公司 Onapsis 將其命名為 Oracle PAYDAY（甲骨文發薪日）。Onapsis 稱，盡管甲骨文現已修復該漏洞，但估計該公司企業資源規劃 (ERP) 軟件客戶中半數都未部署補?。阂馕吨^ 1 萬家公司面臨風險。

這些客戶很多都只在內網運行該軟件，但 Onapsis 估測，至少 1,500 個 EBS 直接接入互聯網。若未打補丁，該漏洞可被未經身份驗證的攻擊者遠程利用，獲得此廣為使用的 ERP 系統的完整訪問權。

漏洞針對 EBS 產品中的一個 API——由甲骨文提供的瘦客戶端框架 (TCF) API，開發人員可以此建立基于服務器的應用；CVSS 漏洞評分高達 9.9 （最高危為 10 分）。

由于甲骨文的 EBS 包含 Payments（支付）模塊供公司企業從銀行賬戶實際轉賬或生成支票，惡意接管該模塊可對用戶造成極大損害。

甲骨文公司在 2018 年發布了解決此問題的第一個關鍵補丁更新 (CPU)，后續補丁不斷放出以解決此漏洞的不同方面，包括 2019 年 4 月 CPU 中針對這兩個關鍵漏洞 (CVE-2019-2638, CVE-2019-2633) 的最新可用補丁。

盡管 ERP 包含支付模塊審計表，由于 SQL 協議允許攻擊者對 APPS 用戶執行任意查詢，攻擊者是有可能禁用并刪除這些審計日志表的。Onapsis 宣稱已成功創建概念驗證，可用特殊構造的查詢語句檢測并刪除審計表。

最后，創建一組數據庫觸發器將所有信息恢復到攻擊發生前的樣子，掩蓋掉所有攻擊痕跡。

Onapsis 博客文章：

https://www.onapsis.com/blog/oracle-payday-vulnerabilities