Trong một báo cáo mới đây của Công ty an ninh mạng doanh nghiệp Onapsis (Hoa Kỳ) đã tiết lộ chi tiết về các lỗ hổng bảo mật trên phần mềm E-Business Suite (EBS) của Oracle - một bộ giải pháp tích hợp các ứng dụng được thiết kế để tự động hóa các hoạt động quản lý quan hệ khách hàng (CRM), quản trị doanh nghiệp tổng thể (ERP) và quản lý chuỗi cung ứng (SCM) cho tổ chức.
Các lỗ hổng được đặt tên là “BigDebIT” với điểm số 9,9/10 trên hệ thống đánh giá lỗ hổng Common Vulnerability Scoring System (CVSS) và đã được Oracle khắc phục trong Bản vá bảo mật nghiêm trọng (Critical Patch Update - CPU ) tung ra vào đầu tháng 01/2020. Tuy nhiên, công ty cũng cho biết thêm, tính đến thời điểm hiện tại, khoảng 50% khách hàng của Oracle EBS vẫn chưa cập nhật bản vá mới nhất này.
Các lỗ hổng này có thể bị kẻ tấn công lợi dụng để nhắm vào các công cụ kế toán như General Ledger nhằm đánh cắp thông tin nhạy cảm và thực hiện các hoạt động lừa đảo tài chính. Việc khai thác thành công lỗ hổng này sẽ cho phép kẻ tấn công đánh cắp các dữ liệu tài chính, gây ra sự chậm trễ trong các khâu báo cáo tài chính và làm ảnh hưởng đến quy trình kiểm toán, báo cáo của công ty.
Theo các nhà nghiên cứu, “một hacker không xác thực có thể thực hiện khai thác tự động trên mô-đun của General Ledger để trích xuất tài sản từ một công ty (như tiền mặt) và sửa đổi bảng kế toán mà không để lại bất kỳ dấu vết nào”.
Điều đáng chú ý là BigDebIT đã xuất hiện trong báo cáo lỗ hổng PAYDAY trên EBS được phát hiện bởi Onapsis ba năm trước. Sau đó, Oracle cũng đã phát hành một loạt các bản vá vào cuối tháng 4/2019.
Hai lỗ hổng định danh là CVE-2020-2586 và CVE-2020-2587 nằm trong Hệ thống quản lý nhân sự của Oracle (HRMS), ở một bộ phận có tên là Sơ đồ phân cấp (Hierarchy Diagrammer), cho phép người dùng tạo ra một mô hình phân cấp thứ bậc và vị trí trong doanh nghiệp. Hai lỗ hổng này có thể bị khai thác ngay cả khi người dùng EBS đã cập nhật các bản vá được phát hành vào tháng 4/2019. Nếu không được khắc phục nhanh chóng, nó sẽ trở thành yếu điểm dễ bị lợi dụng bởi những kẻ tấn công để thực hiện các hoạt động gian lận tài chính và đánh cắp thông tin bí mật trên các hệ thống kế toán của công ty.
Oracle General Ledger là một phần mềm cho phép quản lý tự động hóa các hoạt động tài chính, có vai trò như một kho lưu trữ thông tin kế toán, được tích hợp trong phần mềm E-Business Suite giúp người dùng có thể áp dụng và triển khai vào các doanh nghiệp của họ. General Ledger cũng được sử dụng để tạo các báo cáo tài chính của doanh nghiệp cũng như thực hiện các công việc kiểm toán đảm bảo tuân thủ theo Đạo luật SOX năm 2002.
Kẻ tấn công có thể phá vỡ sự tin tưởng này bằng cách khai thác lỗ hổng để sửa đổi các báo cáo quan trọng trong General Ledger, bao gồm cả việc thao túng các giao dịch trên bảng cân đối kế toán của một công ty.
Do liên quan tới rủi ro tài chính, các công ty sử dụng Oracle EBS được khuyến cáo nên thực hiện đánh giá ngay lập tức để đảm bảo họ không bị ảnh hưởng bởi các lỗ hổng này và áp dụng các bản vá để khắc phục chúng.
"Các tổ chức cần lưu ý rằng các công cụ quản lý rủi ro hiện tại và các phương thức bảo mật truyền thống khác (tường lửa, kiểm soát truy cập, phân quyền để tránh gian lận và các công cụ khác) sẽ không hiệu quả trong việc ngăn chặn loại tấn công này vào các hệ thống Oracle EBS dễ bị xâm nhập", các nhà nghiên cứu cảnh báo.
Nếu các tổ chức có hệ thống Oracle EBS được phơi ra Internet, khả năng mối đe dọa tiềm tàng sẽ được tăng lên đáng kể. Các tổ chức bị tấn công sẽ không biết về cuộc tấn công và không biết mức độ thiệt hại cho đến khi tìm thấy bằng chứng từ kiểm toán nội bộ hoặc bên ngoài.
Anh Nguyễn
(Theo The Hacker News)
15:00 | 21/07/2020
09:00 | 07/02/2018
15:00 | 28/07/2020
16:00 | 24/07/2024
08:04 | 01/08/2017
07:00 | 09/10/2020
09:23 | 25/08/2016
14:00 | 24/01/2025
Một lỗ hổng mới trong cơ chế UEFI Secure Boot, được theo dõi với mã CVE-2024-7344, đã được phát hiện, cho phép kẻ tấn công triển khai bootkit ngay cả khi Secure Boot đang được kích hoạt.
10:00 | 31/12/2024
Các nhà nghiên cứu an ninh mạng đang đưa ra cảnh bảo về sự gia tăng đột biến của những hoạt động phá hoại liên quan đến việc kết nối các bộ định tuyến D-Link trong 2 mạng botnet khác nhau, một biến thể Mirai có tên là FICORA và một biến thể Kaiten (Tsunami) được gọi là CAPSAICIN.
09:00 | 30/12/2024
Năm 2024, các cuộc tấn công mạng diễn ra trên mọi lĩnh vực, từ y tế đến tài chính, ngân hàng.... Tin tặc không chỉ đánh cắp dữ liệu cá nhân, mà còn thực hiện các cuộc tấn công ransomware tinh vi, đe dọa trực tiếp đến sự hoạt động của các cơ sở y tế. Nguy hiểm hơn là sự tinh vi và quy mô ngày càng tăng của các cuộc tấn công gián điệp của tin tặc Trung Quốc nhằm vào Hoa Kỳ và các đồng minh. Các chuyên gia tin rằng đây là một động thái chiến lược của Bắc Kinh nhằm có khả năng phá vỡ hoặc phá hủy các dịch vụ quan trọng trong trường hợp căng thẳng địa chính trị leo thang hoặc xung đột quân sự.
17:00 | 22/11/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Group-IB (Singapore) vừa phát hiện một chiến dịch tấn công mạng mới vô cùng tinh vi, lạm dụng các thuộc tính mở rộng của tệp macOS để phát tán một loại Trojan mới có tên gọi là “RustyAttr”. Bài viết này sẽ cùng phân tích và tìm hiểu về kỹ thuật tấn công này, dựa trên báo cáo của Group-IB.
Theo báo cáo bảo mật Android 2024 được Google công bố cuối tháng 1/2025 cho thấy hãng đã chặn 2,36 triệu ứng dụng vi phạm chính sách trước khi chúng được phát hành trên Play Store, cấm hơn 158.000 tài khoản của các nhà phát triển cố gắng phát hành ứng dụng có hại.
10:00 | 13/02/2025