黑客可利用Oracle EBS中的BigDebIT漏洞修改财务记录

华盟原创文章投稿奖励计划

华盟君引言“Oracle最近修复了E-Business Suite系统中的两个漏洞黑客可以利用这些漏洞来篡改用户的财务记录”

Oracle EBS在全球有成千上万的用户企业使用,它是一种多合一的业务管理系统包括用于客户关系管理,财务,人力资源,供应链管理,合同,采购和计划的应用程序。

去年,Onapsis的专家发现了这些漏洞以及其他安全问题。甲骨文于2019年4月解决了一些漏洞,但追踪到CVE-2020-2586和CVE-2020-2587以及被称为“ BigDebIT”的两个问题已于2020年1月修复。

不过,还是有大量Oracle系统仍除以易受攻击状态。

Onapsis研究人员报告说,黑客可以利用该漏洞针对EBS中的General Ledger应用程序。General Ledger程序是一种财务管理工具,用于跟踪运营公司整个生命周期内发生的财务交易。

研究人员的报告表示,即使在财务报告期结束后,远程未经身份验证的黑客也可以利用BigDebIT漏洞来更改财务报告,从而绕过现有的安全解决方案并隐藏其活动。

技术员还在报告中表示“一旦财务报告期结束,财务数据就不会更改。如果黑客在期末审计与审计之间修改总帐报告,将对公司及其合规流程造成重大损害。

根据余额和重要性的不同,余额可能会在审核期间通过通用控制(例如帐户对帐或差异检查)引起警报,并且根据更改的复杂性,可能真的很难(甚至不可能)识别并解释一下,如果没有所做更改的记录,为什么财务余额与系统数据不匹配。

内部资源,外部资源(专家和/或外部审核员等)在劳动时间和费用方面需要付出的努力将非常重要。尽管用户企业已尽了最大努力,但这仍可能无法发现其他有用信息,表明此更改是通过利用带有这些Oracle EBS漏洞而不是实际业务或会计交易的总帐进行的。”

华盟君点评:黑客如果利用该漏洞进行篡改数据,企业用户根本无法发现到底是黑客篡改的还是实际业务的数值,因为不会留下一点蛛丝马迹,如果有使用这个系统的建议马上进行备份,采取相对措施。

华盟知识星球入口


外媒报道地址:https://securityaffairs.co/wordpress/104840/hacking/bigdebit-flaws-oracle-ebs.html

本原创,作者:张,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/77169kx/260339.html