Две критические уязвимости получили оценку 9,9 балла по шкале CVSS.
Специалисты из компании Onapsis сообщили технические подробности критических уязвимостей ( CVE-2020-2586 и CVE-2020-2587 ), получивших название BigDebIT, в интегрированной группе приложений Oracle E-Business Suite (EBS), предназначенной для автоматизации операций CRM, ERP и SCM для организаций.
Проблемы могут быть проэксплуатированы злоумышленником для атак на такие инструменты бухгалтерского учета, как Oracle General Ledger, с целью похитить конфиденциальную информацию и совершить финансовое мошенничество. По словам исследователей, «неавторизованный преступник может выполнить автоматизированный эксплоит на модуле General Ledger, чтобы похитить денежные средства компании и изменить бухгалтерские таблицы, не оставляя следов».
Как отметили эксперты, BigDebIT могут быть проэксплуатированы вместе с известными уязвимостями PAYDAY в EBS, обнаруженными Onapsis три года назад. Уязвимости содержатся в системе управления персоналом Oracle (HRMS) в компоненте Hierarchy Diagrammer, который позволяет пользователям создавать иерархии организации и положения, связанные с предприятием.
General Ledger — программное обеспечение для автоматизированной финансовой обработки, выступающее в качестве хранилища бухгалтерской информации и предлагается как часть E-Business Suite. General Ledger используется для составления корпоративных финансовых отчетов, а также для проведения аудиторских проверок в целях обеспечения соответствия требованиям Закона Сарбейнза-Оксли 2002 года.
Компания Oracle исправила уязвимости BigDebIT (получили оценку 9,9 балла по шкале CVSS) в январе нынешнего года. По словам представителей Oracle, примерно 50% клиентов Oracle EBS до сих пор не установили исправления.
Одно найти легче, чем другое. Спойлер: это не темная материя