何千もの Oracle E-Business Suite 顧客が、銀行詐欺に悪用される可能性のあるセキュリティ バグの影響を受ける可能性があります。
セキュリティ企業 Onapsis は、Big Red が 4 月に両方のバグに対する修正を公開したにもかかわらず、Oracle EBS ソフトウェアを使用している企業の約半数がまだ CVE-2019-2648 と CVE-2019-2633 のパッチを適用していないと推定しています。
2つの脆弱性はThin Client Framework APIに存在し、リフレクションSQLインジェクションとされています。HTTPS経由でEBSサーバーにリモートアクセスできる攻撃者は、このバグを悪用し、脆弱なマシンに任意のコマンドを送信できる可能性があります。
この欠陥はEBS全体にとって危険ですが、特にスイートに含まれるPaymentsモジュールを使用するサーバーにとって深刻な問題となります。Paymentsツールを使用すると、企業は仕入先やパートナーへの直接入金や自動送金の設定とスケジュール設定、請求書や注文の処理を行うことができます。振替依頼の銀行ルーティング番号と口座番号はテキストファイルとしてサーバー上に保存され、必要に応じて自動的に読み込まれます。
これがどこへ向かうのかはご想像がつくでしょう。
SQLインジェクションの脆弱性を悪用した攻撃者は、これらの振替指示ファイルをリモートで改ざんし、任意の口座に現金を移動させる指示を追加することができます。つまり、瞬時に銀行詐欺が実行されるのです。
まだ納得していない人のために、Onapsis は攻撃がどのように機能するかを示す概念実証ビデオを作成しました。
YouTubeビデオ
2つ目のシナリオでは、オナプシス氏は、同じバグが、もう少し古典的な金融詐欺、つまり偽造小切手の印刷に利用される可能性を示しています。EBSサーバーが紙の小切手の印刷にも使用されていた場合、リモート攻撃者は同様に実行できる可能性があります。ただし、オナプシス氏によると、攻撃者は当然ながらプリンターと小切手テンプレートへのアクセスが必要であり、それらは別のマシンに保存されている可能性もあります。それでも、少なくとも理論的には、このような攻撃は可能です。
欧州のデジタルIDシステムはcan_we_trust_this関数呼び出しが無視されたためパッチ適用が必要
続きを読む
これらのバグ自体が深刻なリスクであることは間違いありません(どちらもCVSSスコア9.9)。しかし、さらに懸念されるのは、4月以降にパッチが公開されているにもかかわらず、脆弱であると考えられるマシンの数が膨大であることです。Onapsisは、EBSを運用している企業の半数近くが、まだマシンにパッチを適用していないと推定しています。
パッチ適用率の低さは、多くの企業のセキュリティ担当者がERPやOracle EBSなどのサプライチェーン・プラットフォームをセキュリティ対策の優先対象としていることを反映していると言えるでしょう。これらのアプリケーションは一般ユーザーにさらされることがほとんどないため、見落とされてしまう可能性があります。
「全体的に、企業の多くはERPのサイバーセキュリティを過小評価する傾向がある。なぜなら、これらの種類のプラットフォームでは、職務の分離やその他のセキュリティ対策に頼っているからだ」と、オナプシスの調査ディレクター、セバスチャン・ボルトニック氏はThe Registerに語った。
「このことから、残念ながら、最新のセキュリティ パッチが適用されていない ERP ソフトウェアが見つかるケースは予想以上に多いことがわかります。」
4 月のアップデートがリリースされて以来、このバグについては沈黙を守ってきたこのセキュリティ企業は、より多くの人々がシステムにパッチを適用するよう促されることを期待して、今回、追加の詳細を公開した。®
