Российские исследователи разоблачили Oracle

image

Американская компания Oracle частенько хитрит и занижает CVSS-рейтинг опасности обнаруженных уязвимостей. Например, российские исследователи из компании Digital Security два года назад частично раскрыли опасную уязвимость в ERP-системе JD Edwards Enterprise One, хотя она была обнаружена даже раньше: ещё три года назад. С помощью этой уязвимости любой легитимный пользователь ERP при желании может получить полный доступ к системе.

В январе 2013 года эта уязвимость была закрыта и оформлена как CVE-2012-1678. Но компания Oracle присвоила ей рейтинг всего лишь 3,5 балла, то есть низкий рейтинг опасности. Этот факт возмутил специалистов из компании Digital Security.

«По непонятным причинам Oracle занизила CVSS-рейтинг опасности данной уязвимости (что, кстати, происходит уже не в первый раз), — говорит Александр Поляков, технический директор Digital Security. — В то время как для стандартных уязвимостей этот рейтинг показывает адекватные результаты, для некоторых нетипичных уязвимостей он оказывается не совсем точным. Учитывая, что разработчик может сжульничать, например, указав частичное влияние на КЦД вместо полного, критичной уязвимости в итоге присваивается рейтинг 3,5 (низкая критичность). В действительности же уязвимость, позволяющую любому пользователю ERP-системы получить доступ ко всем данным и присвоить себе любые права, сложно назвать низкой».

В связи с этим компания Digital Security опубликовала подробную информацию о том, как эксплуатировать данную уязвимость, чтобы наглядно продемонстрировать её высокую опасность.

Процесс аутентификации в системе JD Edwards реализован так.

1) Пользователь вводит своё имя (например, APPUSER) и пароль (например, APPASSWORD) в клиентском приложении.

2) Клиентское приложение пытается подключиться напрямую к СУБД JD Edwards, используя имя пользователя JDE (по умолчанию) и пароль для этого пользователя, который читается с конфигурационного файла клиентской рабочей станции JDE.INI (пароль хранится в поле “SECURITY” и по умолчанию имеет значение JDE).

3) Получив прямой доступ к СУБД, клиентское приложение проверяет пароль пользователя APPUSER в таблице F98OWSEC, и если пароль подходит, то отрисовывает интерфейс пользователя на основе его ролей из таблицы APPUSERS.

Такого рода аутентификация не выдерживает никакой критики, так как реализуется, по сути, на клиенте. Если злоумышленник получил доступ к рабочей станции пользователя, сам является инсайдером или может перехватывать трафик между клиентом и сервером (например, в старых версиях MSSQL пароль элементарно расшифровывается при помощи утилиты CAIN &ABEL), то он получит аутентификационные данные пользователя JDE, который имеет административные права в СУБД. Дальнейшие его действия ограничены только фантазией.

Ранее в качестве временных рекомендаций значилось настройка на рабочей станции прав доступа к файлу JDE.IN (не лучший способ). Сейчас, спустя 3 года с момента обнаружения, проблема устранена, и пользователи могут скачать официальное обновление с сайта Oracle. Правда, вопрос о том, как именно была исправлена уязвимость, остаётся открытым.

Подробнее: http://www.xakep.ru/post/60179/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Российские исследователи разоблачили Oracle | | 2013-02-25 21:52:00 | | Статьи об Интернет безопасности | | Американская компания Oracle частенько хитрит и занижает CVSS-рейтинг опасности обнаруженных уязвимостей. Например, российские исследователи из компании Digital Security два года назад частично | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: