Brechas no Oracle E-Business Suite podem paralisar operações

Views: 536
0 0
Read Time:3 Minute, 24 Second

Se os negócios da empresa dependem do pacote de aplicativos, verifique se ele foi atualizado recentemente

Um relatório divulgado pela empresa de segurança cibernética Onapsis revela detalhes técnicos sobre vulnerabilidades descobertas no E-Business Suite (EBS) da Oracle, pacote integrado de aplicativos de negócios voltado à automatização de processos de gerenciamento do relacionamento com clientes (CRM), gestão empresarial (ERP) e gerenciamento da cadeia de suprimentos (SCM) nas organizações.

As duas vulnerabilidades, apelidadas de “BigDebIT”, foram classificadas com pontuação de 9,9 no CVSS (Common Vulnerability Scoring System), que indica a gravidade do risco apontado. Embora elas tenham sido corrigidas pela Oracle em uma atualização de patch crítico, lançada no início de janeiro, a empresa diz que cerca de 50% dos clientes do EBS ainda não instalaram os patches até o momento.

As falhas de segurança podem ser exploradas por hackers para atingir ferramentas de contabilidade, como o General Ledger, visando roubar informações confidenciais e cometer fraudes financeiras.

Segundo pesquisadores de segurança, “um hacker não autenticado pode executar uma exploração automatizada no módulo General Ledger para extrair ativos de uma empresa [como dinheiro] e modificar tabelas contábeis, sem deixar rastro”. “A exploração bem-sucedida dessa vulnerabilidade permitiria que um invasor roubasse dados financeiros e causasse atrasos em qualquer relatório financeiro relacionado aos processos de conformidade da empresa”, acrescentam eles.

Vale ressaltar que os vetores de ataque BigDebIT aumentam as vulnerabilidades PayDay já relatadas no EBS, descobertas pela Onapsis há três anos, após as quais a Oracle lançou uma série de patches até abril de 2019. A vulnerabilidade PayDay permitiria que usuários com baixos privilégios e acesso à rede via HTTP comprometessem o General Ledger.

A vulnerabilidades, reportadas com os identificadores CVE-2020-2586 e CVE-2020-2587, residem no Oracle Human Resources Management System (HRMS), em um componente chamado Hierarchy Diagrammer que permite que os usuários criem hierarquias e as posições associadas de uma empresa. Juntas, elas podem ser exploradas mesmo naqueles clientes do EBS que instalaram os patches lançados em abril de 2019. “Portanto, todos precisam priorizar a atualização crítica de patches [CPU, na sigla em inglês] lançada em janeiro”, afirma a empresa em nota.

Uma consequência dessas brechas, se não forem corrigidas, é a possibilidade de fraude financeira e roubo de informações confidenciais, atacando os sistemas de contabilidade de uma empresa.

O General Ledger é um software automatizado de processamento financeiro que atua como um repositório de informações contábeis e é oferecido como parte do E-Business Suite. Ele também é usado para gerar relatórios financeiros corporativos e realizar auditorias para garantir a conformidade com a lei Sarbannes-Oxley de 2002, que determina que tanto a empresa quanto sua auditoria identifiquem todos os controles-chave em cada um de seus processos e testem exaustivamente a efetividade e a capacidade de avaliação gerencial desses controles.

Um invasor pode quebrar essa confiança explorando as falhas para modificar relatórios críticos no livro de registro de contabilidade, incluindo a manipulação fraudulenta de transações nos balanços da empresa.

“Por exemplo, um invasor pode modificar o relatório de balancete, que resume os saldos contábeis em um determinado período, praticamente despercebidos, resultando em resultados incorretamente relatados que não são detectados nas demonstrações financeiras. Isso pode resultar em resultados financeiros arquivados ou reportados incorretamente”, diz a Onapsis.

Dado o risco financeiro envolvido, é altamente recomendável que as empresas que usam o Oracle EBS executem uma avaliação imediata para garantir que não estejam expostas a essas vulnerabilidades e apliquem os patches para corrigi-las.

“As organizações precisam estar cientes de que as ferramentas de governança, gestão de riscos e compliance atuais e outros métodos tradicionais de segurança [firewalls, controles de acesso, SoD e outros] são ineficazes para prevenir esse tipo de ataque a sistemas Oracle EBS vulneráveis”, alertaram os pesquisadores.

Segundo eles, se as organizações tiverem sistemas Oracle EBS voltados para a internet, a probabilidade de o potencial de ameaça é significativamente ampliada. “As organizações sob ataque desconhecem o ataque e não sabem a extensão do dano até que as evidências sejam encontradas por uma auditoria interna ou externa muito extensa.” Com agências de notícias internacionais.

FONTE: CISO ADVISOR

POSTS RELACIONADOS