Trong một báo cáo mới đây của Công ty an ninh mạng doanh nghiệp Onapsis (Hoa Kỳ) đã tiết lộ chi tiết về các lỗ hổng bảo mật trên phần mềm E-Business Suite (EBS) của Oracle - một bộ giải pháp tích hợp các ứng dụng được thiết kế để tự động hóa các hoạt động quản lý quan hệ khách hàng (CRM), quản trị doanh nghiệp tổng thể (ERP) và quản lý chuỗi cung ứng (SCM) cho tổ chức.

Các lỗ hổng được đặt tên là “BigDebIT” với điểm số 9,9/10 trên hệ thống đánh giá lỗ hổng Common Vulnerability Scoring System (CVSS) và đã được Oracle khắc phục trong Bản vá bảo mật nghiêm trọng (Critical Patch Update - CPU ) tung ra vào đầu tháng 01/2020. Tuy nhiên, công ty cũng cho biết thêm, tính đến thời điểm hiện tại, khoảng 50% khách hàng của Oracle EBS vẫn chưa cập nhật bản vá mới nhất này.

Các lỗ hổng này có thể bị kẻ tấn công lợi dụng để nhắm vào các công cụ kế toán như General Ledger nhằm đánh cắp thông tin nhạy cảm và thực hiện các hoạt động lừa đảo tài chính. Việc khai thác thành công lỗ hổng này sẽ cho phép kẻ tấn công đánh cắp các dữ liệu tài chính, gây ra sự chậm trễ trong các khâu báo cáo tài chính và làm ảnh hưởng đến quy trình kiểm toán, báo cáo của công ty.

Theo các nhà nghiên cứu, “một hacker không xác thực có thể thực hiện khai thác tự động trên mô-đun của General Ledger để trích xuất tài sản từ một công ty (như tiền mặt) và sửa đổi bảng kế toán mà không để lại bất kỳ dấu vết nào”. 

Điều đáng chú ý là BigDebIT đã xuất hiện trong báo cáo lỗ hổng PAYDAY trên EBS được phát hiện bởi Onapsis ba năm trước. Sau đó, Oracle cũng đã phát hành một loạt các bản vá vào cuối tháng 4/2019.

Hai lỗ hổng định danh là CVE-2020-2586 và CVE-2020-2587 nằm trong Hệ thống quản lý nhân sự của Oracle (HRMS), ở một bộ phận có tên là Sơ đồ phân cấp (Hierarchy Diagrammer), cho phép người dùng tạo ra một mô hình phân cấp thứ bậc và vị trí trong doanh nghiệp. Hai lỗ hổng này có thể bị khai thác ngay cả khi người dùng EBS đã cập nhật các bản vá được phát hành vào tháng 4/2019. Nếu không được khắc phục nhanh chóng, nó sẽ trở thành yếu điểm dễ bị lợi dụng bởi những kẻ tấn công để thực hiện các hoạt động gian lận tài chính và đánh cắp thông tin bí mật trên các hệ thống kế toán của công ty.

Oracle General Ledger là một phần mềm cho phép quản lý tự động hóa các hoạt động tài chính, có vai trò như một kho lưu trữ thông tin kế toán, được tích hợp trong phần mềm E-Business Suite giúp người dùng có thể áp dụng và triển khai vào các doanh nghiệp của họ. General Ledger cũng được sử dụng để tạo các báo cáo tài chính của doanh nghiệp cũng như thực hiện các công việc kiểm toán đảm bảo tuân thủ theo Đạo luật SOX năm 2002.

Kẻ tấn công có thể phá vỡ sự tin tưởng này bằng cách khai thác lỗ hổng để sửa đổi các báo cáo quan trọng trong General Ledger, bao gồm cả việc thao túng các giao dịch trên bảng cân đối kế toán của một công ty.

Do liên quan tới rủi ro tài chính, các công ty sử dụng Oracle EBS được khuyến cáo nên thực hiện đánh giá ngay lập tức để đảm bảo họ không bị ảnh hưởng bởi các lỗ hổng này và áp dụng các bản vá để khắc phục chúng.

"Các tổ chức cần lưu ý rằng các công cụ quản lý rủi ro hiện tại và các phương thức bảo mật truyền thống khác (tường lửa, kiểm soát truy cập, phân quyền để tránh gian lận và các công cụ khác) sẽ không hiệu quả trong việc ngăn chặn loại tấn công này vào các hệ thống Oracle EBS dễ bị xâm nhập", các nhà nghiên cứu cảnh báo.

Nếu các tổ chức có hệ thống Oracle EBS được phơi ra Internet, khả năng mối đe dọa tiềm tàng sẽ được tăng lên đáng kể. Các tổ chức bị tấn công sẽ không biết về cuộc tấn công và không biết mức độ thiệt hại cho đến khi tìm thấy bằng chứng từ kiểm toán nội bộ hoặc bên ngoài.