0

  • Votre panier est vide.

  • LOGIN

Les failles d’Oracle E-Business Suite permettent aux pirates de détourner les opérations commerciales

Certains articles de veille peuvent faire l'objet de traduction automatique.

Si vos opérations commerciales et la sécurité des données sensibles reposent sur Oracle’s E-Business Suite (EBS), assurez-vous que vous avez récemment mis à jour et que vous exécutez la dernière version disponible du logiciel.

Dans un rapport publié par la société de cybersécurité d’entreprise Onapsis et partagé avec The Hacker News, la société a aujourd’hui divulgué des détails techniques sur les vulnérabilités signalées dans son groupe intégré d’applications conçues pour automatiser les opérations CRM, ERP et SCM pour les organisations.

Les deux vulnérabilités, surnommées « BigDebIT« et noté un score CVSS de 9,9, ont été corrigés par Oracle dans un mise à jour du correctif critique (CPU) est sorti plus tôt en janvier. Mais la société a déclaré qu’environ 50% des clients Oracle EBS n’avaient pas déployé les correctifs à ce jour.

Les failles de sécurité pourraient être exploitées par de mauvais acteurs pour cibler des outils comptables tels que le grand livre dans le but de voler des informations sensibles et de commettre des fraudes financières.

Selon les chercheurs, «un pirate informatique non authentifié pourrait effectuer un exploit automatisé sur le module du grand livre pour extraire les actifs d’une entreprise (comme la trésorerie) et modifier les tables comptables, sans laisser de trace».

Piratage du logiciel Oracle EBS

«Une exploitation réussie de cette vulnérabilité permettrait à un attaquant de voler des données financières et entraînerait des retards dans tout rapport financier lié aux processus de conformité de l’entreprise», a-t-il ajouté.

Il convient de noter que les vecteurs d’attaque BigDebIT s’ajoutent aux Vulnérabilités PAYDAY dans EBS découvert par Onapsis il y a trois ans, après quoi Oracle a publié une série de correctifs jusqu’en avril 2019.

Cibler le grand livre général pour la fraude financière

Suivi comme CVE-2020-2586 et CVE-2020-2587, les nouvelles failles résident dans son Oracle Human Resources Management System (HRMS) dans un composant appelé Diagramme hiérarchique qui permet aux utilisateurs de créer des hiérarchies d’organisation et de poste associées à une entreprise. Ensemble, ils peuvent être exploités même si les clients EBS ont déployé des correctifs publiés en avril 2019.

« La différence est qu’avec ces correctifs, il est confirmé que même avec les systèmes à jour, ils sont vulnérables à ces attaques et doivent donc donner la priorité à l’installation du processeur de janvier », l’entreprise avait déclaré dans une note publiée en janvier.

Une conséquence de ces bogues, s’ils ne sont pas corrigés, est la possibilité de fraude financière et de vol d’informations confidentielles en attaquant les systèmes comptables d’une entreprise.

Oracle Grand livre général est un logiciel de traitement financier automatisé qui agit comme un référentiel d’informations comptables et est offert dans le cadre de E-Business Suite, la suite d’applications intégrée de l’entreprise – couvrant la planification des ressources d’entreprise (ERP), la gestion de la chaîne d’approvisionnement (SCM) et la relation client gestion (CRM) – que les utilisateurs peuvent mettre en œuvre dans leurs propres entreprises.

Le grand livre général est également utilisé pour générer des rapports financiers d’entreprise ainsi que pour effectuer des audits pour assurer le respect des Loi SOX de 2002.

Un attaquant pourrait briser cette confiance en exploitant les failles pour modifier des rapports critiques dans le grand livre, y compris en manipulant frauduleusement des transactions sur les bilans d’une entreprise.

« Par exemple, un attaquant pourrait modifier le rapport de balance de vérification, qui résume les soldes comptables d’une période donnée, pratiquement inaperçu, ce qui entraînerait des résultats inexacts et non détectés dans les états financiers. Cela pourrait entraîner des résultats financiers déposés ou rapportés de manière inexacte. » m’a dit.

L’importance de la correction des logiciels critiques

Compte tenu du risque financier impliqué, il est fortement recommandé aux entreprises utilisant Oracle EBS d’effectuer une évaluation immédiate pour s’assurer qu’elles ne sont pas exposées à ces vulnérabilités et d’appliquer les correctifs pour les corriger.

« Les organisations doivent être conscientes que les Outils GRC et d’autres méthodes de sécurité traditionnelles (pare-feu, contrôles d’accès, SoD et autres) seraient inefficaces pour empêcher ce type d’attaque sur les systèmes Oracle EBS vulnérables », ont averti les chercheurs.

«Si les organisations disposent de systèmes Oracle EBS connectés à Internet, la probabilité de menace potentielle serait considérablement augmentée. Les organisations attaquées ne seront pas au courant de l’attaque et ne connaîtront pas l’étendue des dommages jusqu’à ce que des preuves soient trouvées par un audit interne ou externe très poussé. « 

Voir aussi :

novembre 8, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)