Oracle E-Business Suite Üzerindeki Kusurları Hackerların Ticari Operasyonları Ele Geçirmesine İzin Veriyor!!!


Kurumsal siber güvenlik firması Onapsis tarafından yayınlanan ve İnternet üzerinde paylaşılan bir raporda, firma bugün CRM, ERP ve SCM’yi otomatikleştirmek için tasarlanmış entegre bir uygulama grubu olan Oracle’ın E-Business Suite (EBS) ‘de bildirdiği güvenlik açıklarına ilişkin teknik ayrıntıları açıkladı.

Kuruluş işlemleri. “BigDebIT” olarak adlandırılan ve 9,9’luk bir CVSS puanı alan iki güvenlik açığı, bu Ocak ayının başlarında yayınlanan kritik yama güncellemesinde (CPU) Oracle tarafından düzeltildi. Ancak şirket, Oracle EBS müşterilerinin tahmini yüzde 50’sinin yamaları bugüne kadar dağıtmadığını söyledi.Güvenlik kusurları, hassas bilgileri çalmak ve finansal sahtekarlık yapmak amacıyla General Ledger gibi muhasebe araçlarını hedeflemek için kötü aktörler tarafından kullanılabilir. Araştırmacılara göre, “kimliği doğrulanmamış bir bilgisayar korsanı, bir şirketten (nakit gibi) varlık çıkarmak ve muhasebe tablolarını iz bırakmadan değiştirmek için General Ledger modülünde otomatik bir istismar gerçekleştirebilir.”


Bu güvenlik açığından başarıyla yararlanılması, bir saldırganın finansal verileri çalmasına ve şirketin uyumluluk süreçleriyle ilgili finansal raporlarda gecikmelere neden olmasını sağlayacaktır. BigDebIT saldırı vektörlerinin, üç yıl önce Onapsis tarafından keşfedilen EBS’de bildirilen PAYDAY güvenlik açıklarına eklendiğini ve ardından Oracle’ın Nisan 2019’a kadar bir dizi yama yayınladığını belirtmek gerekir.


Finansal Sahtekarlık için CVE-2020-2586 ve CVE-2020-2587 olarak izlenen yeni kusurlar, kullanıcıların bir kuruluşla ilişkili organizasyon ve konum hiyerarşileri oluşturmalarını sağlayan Hiyerarşi Diyagramı adı verilen bir bileşende Oracle İnsan Kaynakları Yönetim Sisteminde (HRMS) bulunur. Şirket, Ocak ayında yayınlanan bir notta, “Fark, bu yamalar ile, güncel sistemlerde bile bu saldırılara karşı savunmasız olduğu ve bu nedenle Ocak CPU’sunun kurulumuna öncelik vermesi gerektiği doğrulandı.”


Bu hataların sonuçsuz kalması durumunda bir sonucu, bir firmanın muhasebe sistemlerine saldırarak finansal dolandırıcılık ve gizli bilgi hırsızlığı olasılığıdır. Oracle General Ledger, muhasebe bilgilerinin deposu olarak hareket eden ve şirketin entegre uygulama paketi olan E-Business Suite’in (kurumsal kaynak planlaması (ERP), tedarik zinciri yönetimini (SCM), ve müşterilerin kendi işlerine uygulayabilecekleri müşteri ilişkileri yönetimi (CRM). General Ledger, kurumsal finansal raporlar oluşturmak ve 2002 SOX Yasası’na uygunluğu sağlamak için denetimler yapmak için de kullanılır.


Saldırgan, bir şirketin bilançolarındaki işlemleri hileli bir şekilde manipüle etmek de dahil olmak üzere, defterdeki kritik raporları değiştirmek için kusurlardan yararlanarak bu güveni kırabilir. “Örneğin, bir saldırgan, belirli bir dönemde muhasebe bakiyelerini özetleyen ve neredeyse fark edilmeden Deneme Dengesi Raporunu değiştirebilir ve sonuç olarak finansal tablolara tespit edilmeyen yanlış raporlanan sonuçlara yol açabilir.

Kritik Yazılım Yamalamanın Önemi Söz konusu finansal risk göz önüne alındığında, Oracle EBS kullanan şirketlerin bu güvenlik açıklarına maruz kalmadıklarından emin olmak için derhal bir değerlendirme yapmaları ve düzeltme eklerini uygulamak için yamaları uygulaması önemle tavsiye edilir. Araştırmacılar, “Kuruluşların mevcut GRC araçlarının ve diğer geleneksel güvenlik yöntemlerinin (güvenlik duvarları, erişim kontrolleri, SoD ve diğerleri) savunmasız Oracle EBS sistemlerine bu tür saldırıları önlemeye karşı etkisiz olacağını bilmeleri gerekiyor”.Kuruluşların internete dönük Oracle EBS sistemleri varsa, potansiyel tehdit olasılığı önemli ölçüde artacaktır. Saldırı altındaki kuruluşlar saldırıdan habersiz olacak ve çok kapsamlı bir iç veya dış denetim tarafından kanıt bulunana kadar zararın boyutunu bilmeyecektir.

İş operasyonlarınız ve hassas verilerin güvenliği Oracle’ın E-Business Suite’ine (EBS) bağlıysa, en son güncellediğinizden ve yazılımın en son sürümünü kullandığınızdan emin olun.

Kaynak

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!