Kurze Information für Administratoren, die für die Oracle E-Business Suite (EBS) verantwortlich sind. Dort gab es zwei kritische Schwachstellen, die Angreifern die komplette Übernahme des ERP-Systems eines Unternehmens ermöglichten. Oracle hat es im April 2019 mit Patches behoben, aber es gibt wohl tausende Firmen, die die Updates nicht installiert haben.
Anzeige
Schwachstellen CVE-2019-2638 und CVE-2019-2633
Die Schwachstelle CVE-2019-2638 betrifft den Consolidation Hierarchy Viewer in der Oracle General Ledger Komponente der Oracle E-Business Suite. Die Schwachstelle wird als leicht ausnutzbare kategorisiert. Sie ermöglichen niedrig privilegierten Angreifern mit Netzwerkzugriff über HTTP das Oracle General Ledger zu gefährden. Erfolgreiche Angriffe auf diese Schwachstelle können zu unbefugtem Erstellen, Löschen oder Ändern des Zugriffs auf kritische Daten oder alle auf Oracle General Ledger zugänglichen Daten sowie zu unbefugtem Zugriff auf kritische Daten oder zum vollständigen Zugriff auf alle auf Oracle General Ledger zugänglichen Daten führen. Die Schwachstelle hat in CVSS 3.0 die Basisbewertung 9.9 für die Sicherheitsstufe erhalten (also sehr kritisch).
Die Schwachstelle CVE-2019-2633 existiert in der Messages-Komponente des Oracle Work in Process. Erfolgreiche Angriffe auf diese Schwachstelle können zu unbefugtem Erstellen, Löschen oder Ändern des Zugriffs auf kritische Daten oder alle auf Oracle Work in Process zugänglichen Daten sowie zu unbefugtem Zugriff auf kritische Daten oder vollständigem Zugriff auf alle auf Oracle Work in Process zugänglichen Daten führen. Die Schwachstelle hat in CVSS 3.0 die Basisbewertung 9.9 erhalten.
Problem: Ungepatchte Systeme
Bleeping Computer berichtet hier, dass Oracle für diese Schwachstellen zum Patchday im April 2019 Updates bereitgestellt habe. Es müsste also alles in trockenen Tüchern sein. Allerdings gibt es wohl viele Firmen, die mit einer ungepatchten Oracle E-Business Suite (EBS) unterwegs sind. Sicherheitsanbieter Onapsis hat hier ein Survey veröffentlicht, wo festgestellt wird, dass tausende Firmen, trotz verfügbarer Updates mit ungepatchten Oracle E-Business Suite (EBS) unterwegs arbeiten. Die Sicherheitsexperten hätten zwei schwerwiegende Beispiele dafür identifiziert, was ein Angriff auf diese Oracle EBS-Schwachstellen für das Geschäft und die Finanzen eines Unternehmens bedeuten würde.
Anzeige