Oracle EBS的新漏洞可以更改财务记录

Oracle解决了其电子商务套件（EBS）业务管理解决方案中的两个安全漏洞，这些漏洞可能使攻击者能够进行广泛的恶意活动，包括篡改组织的财务记录。

Oracle EBS当前在全球成千上万的组织中使用，其总帐管理系统（Oracle General Ledger）是一种自动财务处理软件，可作为会计信息的存储库，并作为E-Business Suite（该公司的集成应用程序套件）的一部分提供，该套件涵盖企业资源计划（ERP），供应链管理（SCM），和客户关系管理（CRM），用户可以将其实施到自己的业务中。

总帐管理系统还可以用于生成公司财务报告以及进行审计，以确保公司能遵守2002年的SOX法案。

然而企业网络安全公司Onapsis在The Hacker News上分享的报告中，披露了Oracle电子商务套件（EBS）中的存在的一些技术漏洞细节。

其中这个被称为“ BigDebIT ”的漏洞，可能允许攻击者执行广泛的入侵活动，其中就包括篡改公司的财务记录。

好在CVE-2020-2586和CVE-2020-2587以及被称为“ BigDebIT”的漏洞已被Oracle公司于2020年1月修复。

但是该公司表示，截至目前为止，约有50％的Oracle EBS客户尚未更新漏洞补丁，所以依然有大量易受攻击的Oracle系统暴露在网上。

如果您的业务运营和敏感数据的安全性依赖于Oracle的E-Business Suite（EBS），强烈建议立即进行评估测试，以确保不会受到这些涉及财务风险漏洞的影响，并及时下载该软件的最新版本。

研究人员称，不良行为者可能会利用这些安全漏洞来针对会计工具（例如General Ledger），来窃取敏感信息并进行财务欺诈，并且不会留下任何痕迹。

Onapsis证明：“一旦财务报告期结束，财务数据就不会更改。如果攻击者在关闭期间和审计期间修改总账报告，将对公司及其合规流程造成严重损害”，即使在财务报告期结束后，未经身份验证的远程攻击者也可以利用BigDebIT漏洞来更改财务报告，从而绕过现有的安全解决方案并隐藏其活动。

“公司需要意识到，Oracle EBS的系统易受此类入侵，当前的GRC工具和其他传统安全方法（防火墙，访问控制，SoD和其他方法）都无法有效地防止攻击。”

黑客如果利用该漏洞篡改数据，用户很难（甚至不可能）发现到底是黑客篡改的还是实际业务的数值，除非通过非常广泛的内部或外部审核找到证据，才能解释为什么财务余额与系统数据不匹配，所以请使用这个系统的用户不要掉以轻心，建议马上对数据进行备份，并采取相应的安全措施。

参考链接

https://securityaffairs.co/wordpress/104840/hacking/bigdebit-flaws-oracle-ebs.html

*本文作者:日影飞趣，转载请注明来自FreeBuf.COM