В популярном ПО Oracle обнаружены опасные уязвимости

04 июня 2015 14:02


Одним из продуктов компании Oracle является Oracle PeopleSoft, это известная и популярная система ERP, число инсталляций которой превышает семь тысяч компаний. Среди пользователей Oracle PeopleSoft есть и крупные корпорации, обитающие в списке Fortune 100. Как оказалось, в данном программном обеспечении существует серьезная уязвимость, о чем сообщили специалисты Digital Security. Обнаруженная уязвимость может быть использована для кражи данных, хранящихся в PeopleSoft или даже для нарушения производственных процессов компаний.

 

Дело в том, что часть компонентов PeopleSoft доступны для подключения из интернета. И некоторые страницы, как минимум, для подачи резюме по объявлению о вакансии или для восстановления пароля, страница доступна сразу, без регистрации. Незарегистрированный пользователь, пользующийся данными модулями PeopleSoft работает из под служебной учетной записи с минимальными правами. Вся система устроена так, что при открытии из интернет страниц этих разделов, посетителю автоматически предоставляется специальный аккаунт.

 

Доступ регулирует технология с использованием TokenID — аутентификационной куки, которая генерируется алгоритмом хэширования SHA1. Как утверждают в Digital Security, злоумышленник способен за день расшифровать TokenID и воспользоваться этим для увеличения своих прав в PeopleSoft. Все что ля этого потребуется — видеокарта за $500 и меньше суток на подбор шифра. Учитывая, что Oracle PeopleSoft представляет собой сложную систему из множества модулей и отдельных приложений, злоумышленник, взломав самый уязвимый компонент, получает доступ и ко всем остальным частям программного комплекса.

 

Oracle PeopleSoft 

 

А что именно будет впоследствии атаковано, зависит от целей хакеров, это может быть и кража информации, мошенничество или саботаж работы компании. Например, изменив информацию о состоянии агрегатов или работающих механизмов на производстве, можно вызвать аварию, срабатывание или блокирование систем защиты. Если злоумышленники исказят сведения состоянии. Степени выполнения этапов проекта, руководители компании будут введены в заблуждение и примут неверные решения. Кроме этого большая опасность похищения личных данных сотрудников предприятия (номера карточек, банковские реквизиты, паспортные данные, сведения о социальном страховании).

 

Данную опасность усугубляет популярность и репутация Oracle PeopleSoft во всем мире и США (американские компании составляют 72% пользователей этой ERP). По мнению специалистов Digital Security, положение дел с безопасностью у Oracle PeopleSoft значительно хуже, чем у SAP пятилетней давности, что подтверждают даже публично подтвержденные инциденты.





Обсудить материал (0)


Предыдущая статья

Новинки, представленные на Google I/O 2015
Следующая статья

На рынке Росиии Windows-смартфоны обогнали iPhone



«Лаборатория Касперского» расширяет сотрудничество с Интерполом

Известный разработчик антивирусного ПО и решений в сфере ИТ-безопасности, компания «Лаборатория Касперского» объявила о расширении существующего соглашения о сотрудничестве с Интерполом. Специалисты «Лаборатории Касперского» помогают подразделению Интерпола IGCI (INTERPOL Global Complex for Innovation), которое занимается расследованием преступлений в сфере высоких технологий. Цель этого исследования — повышение эффективности борьбы с кибер-преступлениями с помощью знанеий и опыта экспертов «Лаборатории Касперского».

 

 

Читать далее...

Исследователи считают, что дифференциальная приватность Apple не эффективна

Год назад Apple объявила, что при сборе статистики использования своих продуктов будет защищать личные данные с помощью технологии «дифференциальная приватность» («Differential Privacy», DP). Однако, как показали исследования ученых из университета Южной Калифорнии, Apple использует такие параметры работы «дифференциальной приватности», которые нивелируют преимущества DP и создают опасность сбора подробного досье на пользователей. Об этом исследовании написало издательство Wired. 

 

Читать далее...

Lenovo заплатит огромный штраф за предустановку вредоносного ПО на свои компьютеры

Крупнейший производитель компьютеров и другой электроники, китайская компания Lenovo пришла к соглашению с 32 штатами и Федеральной торговой комиссией США. Производитель из поднебесной изменит свою практику подготовки ноутбуков к продаже и выплатит $3.5 миллионов штрафа. 

Читать далее...

Продвигая искусственный интеллект, Microsoft и Google стали выпускать чипы

В настоящее время стала очевидна тенденция повсеместного использования искусственного интеллекта для решения задач торговли, бизнеса, здравоохранения и развлечений. Понимая, какую прибыль это сулит,  Google, Micropsoft и другие технологические гиганты устремились в погоню за пользователями во все сферы жизни. Однако обнаружилась проблема, препятствующая массовой эксплуатации ИИ — низкая производительность обычных компьютеров. Дело в том, что для работы искусственного интеллекта необходимо выполнять большой объем специфических вычислений, к которым стандартные процессоры плохо приспособлены.

 

Читать далее...

На базе платформы OpenAI создали ИИ для написания «невидимых» вирусов

Хирам Андерсон, эксперт из компании Endgame выступил с интересным докладом на хакерской конференции DEF CON. Он рассказал как платформа OpenAI, созданная для стимулирования машинного обучения, была использована для весьма опасных действий. Настроенная определенным образом OpenAI стала разрабатывать вредоносный софт и очень быстро его совершенствовать. 

 

Читать далее...

Недостатки всеобщей компьютеризации: специалист по безопасности сам пострадал от взлома

Компания Securitas из Швеции является крупнейшим провайдером решений по ИТ безопасности и защите данных. Эта фирма специализируется на расследованиях и консалтинге в сфере информационной безопасности, предоставляя услуги клиентам в 53 странах. И вот CEO данной корпорации столкнулся с тем, что, без его ведома, оказался объявлен банкротом. Пока более 300 тысяч сотрудников шведской компании защищали от высокотехнологичных опасностей клиентов Securitas, у ее руководителя, Альфа Горанссона украли персональные данные, оформили кредит и подали в суд заявку на банкротство.

Читать далее...

Новый тип кибер-атак: PRMitM принудительный сброс пароля

Специалисты по ИТ безопасности из Израиля представили результаты исследования, описывающего новый тип атак на онлайн пользователей различных сервисов. Этот тип атаки называется PRMitM, «Сброс пароля человеком посередине». Преступники вклиниваются в цепочку обмена информацией между двумя абонентами, вынуждают пользователя запустить процесс смены пароля и перехватывают его данные.

 

Читать далее...

Компании Intel не понравились планы Windows лишить ее монополии на х86 и мир компьютеров

После объявления Microsoft планов по выпуску версии операционной системы Windows 10 для устройств на базе процессоров ARM, было очевидно, что это пошатнет положение Intel и AMD на рынке настольных компьютеров. И так мобильные устройства стали самыми популярными у пользователей, что привело к спаду на рынке настольных компьютеров и ноутбуков. А теперь уже более дешевые ARM процессоры могут наступать на чипы Intel и в сфере обычных ПК. Но Intel показала, что не намерена сдаваться, недаром это компания с родины патентных троллей. Крупнейший производитель микросхем «предупредил», что эмуляции команд x86 ISA без разрешения Intel нарушает ее патенты и незаконна.

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов