В популярном ПО Oracle обнаружены опасные уязвимости

04 июня 2015 14:02


Одним из продуктов компании Oracle является Oracle PeopleSoft, это известная и популярная система ERP, число инсталляций которой превышает семь тысяч компаний. Среди пользователей Oracle PeopleSoft есть и крупные корпорации, обитающие в списке Fortune 100. Как оказалось, в данном программном обеспечении существует серьезная уязвимость, о чем сообщили специалисты Digital Security. Обнаруженная уязвимость может быть использована для кражи данных, хранящихся в PeopleSoft или даже для нарушения производственных процессов компаний.

 

Дело в том, что часть компонентов PeopleSoft доступны для подключения из интернета. И некоторые страницы, как минимум, для подачи резюме по объявлению о вакансии или для восстановления пароля, страница доступна сразу, без регистрации. Незарегистрированный пользователь, пользующийся данными модулями PeopleSoft работает из под служебной учетной записи с минимальными правами. Вся система устроена так, что при открытии из интернет страниц этих разделов, посетителю автоматически предоставляется специальный аккаунт.

 

Доступ регулирует технология с использованием TokenID — аутентификационной куки, которая генерируется алгоритмом хэширования SHA1. Как утверждают в Digital Security, злоумышленник способен за день расшифровать TokenID и воспользоваться этим для увеличения своих прав в PeopleSoft. Все что ля этого потребуется — видеокарта за $500 и меньше суток на подбор шифра. Учитывая, что Oracle PeopleSoft представляет собой сложную систему из множества модулей и отдельных приложений, злоумышленник, взломав самый уязвимый компонент, получает доступ и ко всем остальным частям программного комплекса.

 

Oracle PeopleSoft 

 

А что именно будет впоследствии атаковано, зависит от целей хакеров, это может быть и кража информации, мошенничество или саботаж работы компании. Например, изменив информацию о состоянии агрегатов или работающих механизмов на производстве, можно вызвать аварию, срабатывание или блокирование систем защиты. Если злоумышленники исказят сведения состоянии. Степени выполнения этапов проекта, руководители компании будут введены в заблуждение и примут неверные решения. Кроме этого большая опасность похищения личных данных сотрудников предприятия (номера карточек, банковские реквизиты, паспортные данные, сведения о социальном страховании).

 

Данную опасность усугубляет популярность и репутация Oracle PeopleSoft во всем мире и США (американские компании составляют 72% пользователей этой ERP). По мнению специалистов Digital Security, положение дел с безопасностью у Oracle PeopleSoft значительно хуже, чем у SAP пятилетней давности, что подтверждают даже публично подтвержденные инциденты.





Обсудить материал (0)


Предыдущая статья

Новинки, представленные на Google I/O 2015
Следующая статья

На рынке Росиии Windows-смартфоны обогнали iPhone



Новая утечка в АНБ, психически больной похитил 50 Тб

С США произошла новая кража данных, собранных и используемых спецслужбами. Агентство национальной безопасности обвинило внештатного сотрудника в краже 50 Тб секретной информации. Это похищение правительственных данных считается самым крупным в истории. Обвиняемый – Гарольд Мартин, работник агентства «Booz, Allen, Hamilton». Данная организация сотрудничает с АНБ и другими спецслужбами США, предоставляя им услуг на миллиарды долларов ежегодно. В этой же компании работал и Эдвард Сноуден, похитивший и опубликовавший огромное количество секретной информации АНБ. 

 

Читать далее...

Против Apple подали коллективный иск и требования прекратить продажи iPhone

Группа людей, среди которых есть пострадавших в различных происшествиях, подали иск в суд против Apple и требуют запретить продажи смартфонов компании на территории Калифорнии. Основная претензия к Apple — отсутствие ограничений коммуникационных возможностей iPhone. В результате водители, злоупотребляющие смартфоном за рулем, создают опасные ситуации на дороге и становятся виновниками ДТП. Этот коллективный иск подан в окружной суд Лос-Анжелеса юридической компанией MLG Automotive Law. 

 

Читать далее...

Foxconn намерена максимально избавиться от работников-людей

Крупнейший контрактный производитель Hon Hai Precision Industry, обеспечивающий выпуск разнообразных гаджетов на заказ для многих знаменитых брендов, намерен снизить зависимость от ручного труда живых работников. Известная своим сотрудничеством с Apple, компания Foxconn приняло решение заменить большую часть человеческого персонала на своих заводах роботами. Руководитель подразделения компании, занимающегося автоматизацией и робототехникой, описал три этапа внедрения роботов на производстве. 

 

Читать далее...

Evernote изменила правила, теперь личная информация пользователей доступна сотрудникам

Многие пользователи популярного сервиса заметок Evernote возмущены изменениями правил использования программы, а именно, новой политики конфиденциальности, которая позволяет сотрудникам компании читать заметки пользователей. На фоне нарастающего сражения между защитниками приватности и компаниями, которые хотят знать о своих клиентах все и даже больше, особенно странно выглядит подход Evernote к доступу к пользовательской информации, для хранения которой программа и была создана.

 

Читать далее...

Почти любой ПК с подключенными наушниками позволяет следить за пользователем

В широко распространенном аудио кодеке компании Realtek есть функция позволяющая превратить подключенные к компьютеру наушники в микрофон. Это стандартная функция мало известна, присутствует на большом количестве компьютеров и не может быть отключена. Данный факт выяснили и подтвердили ученые из лаборатории кибербезопасности университета Бен-Гуриона в Израиле. Они создали образец вредоносной программы, способной подключиться к наушникам и снимать через них звуки, а также сжимать аудиоинформацию и передавать на удаленный сервер. Подобный инструмент могли создать для своих целей хакеры. От такой прослушки не защищены даже те пользователи, которые заклеивают камеры или отключают микрофон.

 

Читать далее...

Вирусы-шифровальщики научились общаться через Telegram

«Лаборатория Касперского» сообщила о новом представителе программ-шифровальщиков, отличие этого образца вредоносного ПО в том, что использует протоколы мессенджера Telegram для передачи информации на управляющий сервер и получения инструкций. Эта программа нацелена на пользователей из РФ, после шифрования изображений и текстовых файлов требуется выкуп в размере 5000 рублей. Таким образом, это первый вирус, шифрующий файлы и, одновременно, являющийся ботом telegram.

 

Читать далее...

DDoS-атака на DNS-сервера компании Dyn

Жители почти трети территории США (а по населению это половина) оказались лишены возможностью пользоваться многими популярными сайтами из-за мощнейшей DDoS-атаке, обрушившейся на регистратора доменов и провайдера услуг DNS, компанию Dyn. 21 сентября группа хакеров начала сетевую атаку на DNS-сервера Dyn. В итоге пользователи интернета в восточной части США не смогли открывать в браузерах такие сайты, как Twitter, SaneBox, Github, Spotify, Reddit, PlayStation Store, Airbnb, Weebly, Zoho, Wix, Squarespace, CPAN, Twilio, NPM, Basecamp, The Verge.

Читать далее...

Китайский консорциум приобрел компанию Lexmark

Один из «патриархов» мира принтеров и уважаемый производитель корпоративного софта, различных принтеров, МФУ и других устройств, американская компания Lexmark продана консорциуму китайских покупателей за 3,6 миллиарда долларов США.

Читать далее...



Приглашаем все магазины цифровой и портативной техники разместить у нас свои прайс-листы.
Вы можете зарегистрироваться прямо сейчас, ознакомившись с правилами участия и заполнив предложенную форму.

Вход для магазинов