企业网络安全公司Onapsis发表了一份报告，在该报告中，Onapsis披露了Oracle E-Business Suite（EBS）中的安全漏洞的技术详情。Oracle EBS是一组集成的应用程序，设计用于为组织自动化CRM，ERP和SCM操作。

这两个漏洞被称为“BigDebIT”，其CVSS评分为9.9，Oracle在今年一月初推出的关键补丁更新（CPU）中修复了这两个漏洞。但该公司表示，目前估计有50%的Oracle EBS客户尚未部署补丁。

攻击者可能利用这两个安全漏洞，以General Ledger等会计工具为攻击目标，企图窃取敏感信息和实施财务欺诈。

据研究人员称，“未经身份认证的攻击者可以在General Ledger模块上进行自动漏洞利用，从公司提取资产（如现金）并修改会计表格，而不留下痕迹。”

成功利用漏洞，攻击者可窃取财务数据，和造成与该公司合规过程相关的任何财务报告的延迟。

值得注意的是，Onapsis三年前发现并报告了EBS中的PAYDAY漏洞，Oracle在2019年4月才发布一系列补丁进行修复。

针对General Ledger进行财务欺诈

这两个漏洞的编号为CVE-2020-2586和CVE-2020-2587，存在于Oracle Human Resources Management System（HRMS）中的Hierarchy Diagrammer组件中，用户使用该组件可以创建与企业关联的组织和职位架构。即便EBS客户已经在2019年4月部署了补丁，这些漏洞也可以被结合利用。

“不同之处在于，使用这些补丁，可以确认即使是最新的系统也容易受到攻击，因此需要优先安装一月份的CPU，”该公司在1月份发布的备注中说道。

如果不修复，通过攻击公司的会计系统，攻击者可能实施财务欺诈和窃取机密信息。

Oracle General Ledger是一个自动化财务处理软件，作为财务信息的存储库，是E-Business Suite的组成部分。E-Business Suite是该公司的集成应用程序套件——包含企业资源规划（ERP）、供应链管理（SCM）和客户关系管理（CRM）——用户可以将这些应用程序实现到自己的业务中。

General Ledger也用于生成企业财务报告，和执行审计，确保符合SOX Act of 2002的规定。

攻击者可利用这些漏洞修改分类账中的关键报告，包括欺诈性地篡改公司资产负债表上的交易，从而破坏这种信任。

Onapsis表示，“例如，攻击者可以在没有人注意到的情况下修改试算平衡表报告，该报告总结了某一特定时期的会计余额，导致报告的结果不准确，未被发现就进入财务报表。这可能导致提交或报告的财务结果不准确”

修复关键软件的重要性

鉴于所涉及的财务风险，强烈建议使用Oracle EBS的公司立即进行评估，确保不暴露于这些漏洞带来的风险之中，并应用补丁修复漏洞。

研究人员警告说：“组织需要意识到，当前的GRC工具和其他传统的安全方法（防火墙、访问控制、Sod等）对于防止对脆弱的Oracle EBS系统的这种类型的攻击是无效的。”

如果组织有面向互联网的Oracle EBS系统，潜在的威胁可能性会被显著地放大。受到攻击的组织将意识不到攻击，也不知道损害的程度，直到通过全面的内部或外部审计找到证据。

本文源自The Hacker News；转载请注明出处。