オラクル社は、ERPScan の研究者が発見した自社製品の 17 件の欠陥を、米国で最近物議を醸す制裁を受けたアプリケーション セキュリティ企業である ERPScan 社を名乗ることなく修正した。
ロシア制裁に巻き込まれた米国のハイテク企業
続きを読む
ERPScanは、発見された脆弱性が6つの異なるビジネスアプリケーションに影響を与えると発表しました。パッチが適用されない場合、攻撃者が機密性の高いビジネスデータにアクセスする可能性があります。脆弱性は、リモートコード実行、クロスサイトスクリプティング、認証バイパス、メモリ破損など多岐にわたります。
ERPScan によって発見された脆弱性は、Big Red の最新の四半期パッチバッチで修正された過去最多の 334 件の脆弱性の一部です。これらのアップデートの一部は累積的なものですが、セキュリティ企業の分析によると、まだ検討すべき点が非常に多く残っています。
Oracleのパッチバッチには、重大と評価された脆弱性が61件含まれていました(CVSSベーススコア9.0~10.0)。最も深刻な脆弱性は、金融サービス、Fusion Middleweaver、PeopleSoft、EBS、小売アプリケーションなど、複数のOracle製品に存在していました。
修正されたバグの中には、WebLogicにおいてリモートコード実行のリスクをもたらす認証バイパスの脆弱性(CVE-2018-2894)が含まれていました。この脆弱性は10点満点中9.8点の評価を受けており、著名なバグハンターであるDavid Litchfield氏によって発見されました。「Oracleのお客様は、これらのパッチをできるだけ早くテストし、適用する必要があります」とLitchfield氏はアドバイスしました。
ERPScan の研究者は、Oracle Fusion Middleway において最も深刻な脆弱性のうち 2 つを特定しました (CVE-2018-2894 および CVE-2018-2943)。
リッチフィールド氏は、ERPScan氏とは異なり、パッチ バッチによって対処された脆弱性を発見した功績が認められた約 40 人の研究者の 1 人です。
ERPScan のエレナ・シャポバロワ氏は、自分の会社がクレジットから外されたことをあまり快く思っていなかった。
「残念ながら、オラクル社はERPScanの貢献を却下することを決定し、ERPScanが財務省の制裁リストに載せられたため、クレジットを与えなかった」と彼女はエル・レグ紙に語った。
我々の見解では、財務省の制裁は金融取引を禁止するものであり、非金融関係を禁じるものではありません。つまり、研究チームがベンダーに脆弱性に関する情報のみを送信した場合、その企業がベンダーにクレジットを提供することを妨げるものは何もないということです。
先月、ロシア関連企業に対する制裁が拡大され、EmbediとERPScanも対象となったことは既報の通りです。両社とも米国に拠点を置いていますが、ロシアの情報機関に技術支援を提供しているとされるロシア企業Digital Securityが所有しています。
お客様、カスペルスキー社のアンチウイルスソフトをご利用いただいております。ぜひご一緒にお越しください。
続きを読む
シャポヴァロワ氏は「制裁は常に懸念を引き起こすものであり、状況は誰にとってもあまり明るいとは言えない」と語った。
El Regは、ERPScanへの対応方針についてオラクルにコメントを求めた。制裁措置は、金銭のやり取りがない取引関係以外でも、通常の取引関係を阻害する可能性があると解釈される可能性がある。オラクルはコメントを控えた。
ERPScanは、業界でも数少ないエンタープライズアプリケーションセキュリティの専門企業です。ERPパッケージなどの脆弱性発見は、モバイルアプリ、オペレーティングシステム、ブラウザ、IoT(モノのインターネット)の要素の脆弱性を探す研究者の数と比較すると、まだカバー範囲が限られています。
ERPScanは2008年からオラクルのエンタープライズソフトウェアのセキュリティ上の欠陥を報告してきた。「今年で10年目を迎えました。そして、私たちはもはやこのやり方ではやっていけないようです」とシャポバロワ氏は語った。
彼女は警告した。「ベンダーがシステムを安全に保つための公式な支援ができなければ、企業は安全でない業務アプリケーションを持つようになり、顧客データ(あなた、あなたの友人、そして私のデータ)がサイバー犯罪者の手に渡ってしまう可能性があります。これは業界全体の衰弱につながります。」®
