Trong một báo cáo mới đây của Công ty an ninh mạng doanh nghiệp Onapsis (Hoa Kỳ) đã tiết lộ chi tiết về các lỗ hổng bảo mật trên phần mềm E-Business Suite (EBS) của Oracle - một bộ giải pháp tích hợp các ứng dụng được thiết kế để tự động hóa các hoạt động quản lý quan hệ khách hàng (CRM), quản trị doanh nghiệp tổng thể (ERP) và quản lý chuỗi cung ứng (SCM) cho tổ chức.
Các lỗ hổng được đặt tên là “BigDebIT” với điểm số 9,9/10 trên hệ thống đánh giá lỗ hổng Common Vulnerability Scoring System (CVSS) và đã được Oracle khắc phục trong Bản vá bảo mật nghiêm trọng (Critical Patch Update - CPU ) tung ra vào đầu tháng 01/2020. Tuy nhiên, công ty cũng cho biết thêm, tính đến thời điểm hiện tại, khoảng 50% khách hàng của Oracle EBS vẫn chưa cập nhật bản vá mới nhất này.
Các lỗ hổng này có thể bị kẻ tấn công lợi dụng để nhắm vào các công cụ kế toán như General Ledger nhằm đánh cắp thông tin nhạy cảm và thực hiện các hoạt động lừa đảo tài chính. Việc khai thác thành công lỗ hổng này sẽ cho phép kẻ tấn công đánh cắp các dữ liệu tài chính, gây ra sự chậm trễ trong các khâu báo cáo tài chính và làm ảnh hưởng đến quy trình kiểm toán, báo cáo của công ty.
Theo các nhà nghiên cứu, “một hacker không xác thực có thể thực hiện khai thác tự động trên mô-đun của General Ledger để trích xuất tài sản từ một công ty (như tiền mặt) và sửa đổi bảng kế toán mà không để lại bất kỳ dấu vết nào”.
Điều đáng chú ý là BigDebIT đã xuất hiện trong báo cáo lỗ hổng PAYDAY trên EBS được phát hiện bởi Onapsis ba năm trước. Sau đó, Oracle cũng đã phát hành một loạt các bản vá vào cuối tháng 4/2019.
Hai lỗ hổng định danh là CVE-2020-2586 và CVE-2020-2587 nằm trong Hệ thống quản lý nhân sự của Oracle (HRMS), ở một bộ phận có tên là Sơ đồ phân cấp (Hierarchy Diagrammer), cho phép người dùng tạo ra một mô hình phân cấp thứ bậc và vị trí trong doanh nghiệp. Hai lỗ hổng này có thể bị khai thác ngay cả khi người dùng EBS đã cập nhật các bản vá được phát hành vào tháng 4/2019. Nếu không được khắc phục nhanh chóng, nó sẽ trở thành yếu điểm dễ bị lợi dụng bởi những kẻ tấn công để thực hiện các hoạt động gian lận tài chính và đánh cắp thông tin bí mật trên các hệ thống kế toán của công ty.
Oracle General Ledger là một phần mềm cho phép quản lý tự động hóa các hoạt động tài chính, có vai trò như một kho lưu trữ thông tin kế toán, được tích hợp trong phần mềm E-Business Suite giúp người dùng có thể áp dụng và triển khai vào các doanh nghiệp của họ. General Ledger cũng được sử dụng để tạo các báo cáo tài chính của doanh nghiệp cũng như thực hiện các công việc kiểm toán đảm bảo tuân thủ theo Đạo luật SOX năm 2002.
Kẻ tấn công có thể phá vỡ sự tin tưởng này bằng cách khai thác lỗ hổng để sửa đổi các báo cáo quan trọng trong General Ledger, bao gồm cả việc thao túng các giao dịch trên bảng cân đối kế toán của một công ty.
Do liên quan tới rủi ro tài chính, các công ty sử dụng Oracle EBS được khuyến cáo nên thực hiện đánh giá ngay lập tức để đảm bảo họ không bị ảnh hưởng bởi các lỗ hổng này và áp dụng các bản vá để khắc phục chúng.
"Các tổ chức cần lưu ý rằng các công cụ quản lý rủi ro hiện tại và các phương thức bảo mật truyền thống khác (tường lửa, kiểm soát truy cập, phân quyền để tránh gian lận và các công cụ khác) sẽ không hiệu quả trong việc ngăn chặn loại tấn công này vào các hệ thống Oracle EBS dễ bị xâm nhập", các nhà nghiên cứu cảnh báo.
Nếu các tổ chức có hệ thống Oracle EBS được phơi ra Internet, khả năng mối đe dọa tiềm tàng sẽ được tăng lên đáng kể. Các tổ chức bị tấn công sẽ không biết về cuộc tấn công và không biết mức độ thiệt hại cho đến khi tìm thấy bằng chứng từ kiểm toán nội bộ hoặc bên ngoài.
Anh Nguyễn
(Theo The Hacker News)
09:00 | 07/02/2018
15:00 | 21/07/2020
15:00 | 28/07/2020
08:04 | 01/08/2017
09:23 | 25/08/2016
07:00 | 09/10/2020
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
09:00 | 13/02/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
10:00 | 06/12/2023
Các cơ quan chính phủ ở Trung Đông hiện đang là mục tiêu của các chiến dịch tấn công lừa đảo mới được nhóm tin tặc TA402 triển khai để phân phối phần mềm độc hại có tên là IronWind. Bài viết này sẽ làm rõ các chiến dịch tấn công này dựa trên những phát hiện mới đây của công ty an ninh mạng Proofpoint (Mỹ).
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
08:00 | 04/05/2024