Risiko: Ungepatchte Oracle E-Business Suite (EBS)

Publiziert am 21. November 2019 von Günter Born

Kurze Information für Administratoren, die für die Oracle E-Business Suite (EBS) verantwortlich sind. Dort gab es zwei kritische Schwachstellen, die Angreifern die komplette Übernahme des ERP-Systems eines Unternehmens ermöglichten. Oracle hat es im April 2019 mit Patches behoben, aber es gibt wohl tausende Firmen, die die Updates nicht installiert haben.

Anzeige

Schwachstellen CVE-2019-2638 und CVE-2019-2633

Die Schwachstelle CVE-2019-2638 betrifft den Consolidation Hierarchy Viewer in der Oracle General Ledger Komponente der Oracle E-Business Suite. Die Schwachstelle wird als leicht ausnutzbare kategorisiert. Sie ermöglichen niedrig privilegierten Angreifern mit Netzwerkzugriff über HTTP das Oracle General Ledger zu gefährden. Erfolgreiche Angriffe auf diese Schwachstelle können zu unbefugtem Erstellen, Löschen oder Ändern des Zugriffs auf kritische Daten oder alle auf Oracle General Ledger zugänglichen Daten sowie zu unbefugtem Zugriff auf kritische Daten oder zum vollständigen Zugriff auf alle auf Oracle General Ledger zugänglichen Daten führen. Die Schwachstelle hat in CVSS 3.0 die Basisbewertung 9.9 für die Sicherheitsstufe erhalten (also sehr kritisch).

Die Schwachstelle CVE-2019-2633 existiert in der Messages-Komponente des Oracle Work in Process. Erfolgreiche Angriffe auf diese Schwachstelle können zu unbefugtem Erstellen, Löschen oder Ändern des Zugriffs auf kritische Daten oder alle auf Oracle Work in Process zugänglichen Daten sowie zu unbefugtem Zugriff auf kritische Daten oder vollständigem Zugriff auf alle auf Oracle Work in Process zugänglichen Daten führen. Die Schwachstelle hat in CVSS 3.0 die Basisbewertung 9.9 erhalten.

Problem: Ungepatchte Systeme

Bleeping Computer berichtet hier, dass Oracle für diese Schwachstellen zum Patchday im April 2019 Updates bereitgestellt habe. Es müsste also alles in trockenen Tüchern sein. Allerdings gibt es wohl viele Firmen, die mit einer ungepatchten Oracle E-Business Suite (EBS) unterwegs sind. Sicherheitsanbieter Onapsis hat hier ein Survey veröffentlicht, wo festgestellt wird, dass tausende Firmen, trotz verfügbarer Updates mit ungepatchten Oracle E-Business Suite (EBS) unterwegs arbeiten. Die Sicherheitsexperten hätten zwei schwerwiegende Beispiele dafür identifiziert, was ein Angriff auf diese Oracle EBS-Schwachstellen für das Geschäft und die Finanzen eines Unternehmens bedeuten würde.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.