Lỗ hổng trên phần mềm Oracle E-Business Suite cho phép tin tặc tấn công vào các hoạt động kinh doanh

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Lỗ hổng bảo mật trên phần mềm EBS của Oracle

Nếu hoạt động kinh doanh và bảo mật dữ liệu nhạy cảm của bạn đang phụ thuộc vào phần mềm E-Business Suite của Oracle (EBS), thì hãy đảm bảo rằng phần mềm của bạn đang chạy trên phiên bản mới nhất và luôn được cập nhật thường xuyên.

Một báo cáo mới đây của công ty an ninh mạng doanh nghiệp Onapsis đã tiết lộ chi tiết về các lỗ hổng bảo mật trên phần mềm E-Business Suite (EBS) của Oracle – một bộ giải pháp tích hợp các ứng dụng được thiết kế để tự động hóa các hoạt động CRM (quản lý quan hệ khách hàng), ERP (quản trị doanh nghiệp tổng thể) và SCM (quản lý chuỗi cung ứng) cho tổ chức.

Được đặt tên là “BigDebIT”, hai lỗ hổng bảo mật này được chấm điểm 9,9/10 trên hệ thống đánh giá lỗ hổng Common Vulnerability Scoring System (CVSS), và đã được Oracle khắc phục trong Bản vá bảo mật nghiêm trọng (CPU – Critical Patch Update) tung ra vào đầu tháng Một. Tuy nhiên, công ty cũng cho biết thêm, tính đến thời điểm hiện tại, khoảng 50% khách hàng của Oracle EBS vẫn chưa cập nhật bản vá mới nhất này.

Các lỗ hổng bảo mật này có thể bị kẻ tấn công lợi dụng để nhắm vào các công cụ kế toán như General Ledger (Sổ cái chung) nhằm đánh cắp thông tin nhạy cảm và thực hiện các hoạt động gian lận tài chính.

Theo các nhà nghiên cứu, “một hacker không xác thực có thể thực hiện khai thác tự động trên mô-đun của Sổ cái chung để trích xuất tài sản từ một công ty (ví dụ như tiền mặt) và sửa đổi bảng kế toán mà không để lại bất kỳ dấu vết nào.”

Oracle EBS software hacking

“Khai thác thành công lỗ hổng này sẽ cho phép kẻ tấn công đánh cắp các dữ liệu tài chính, gây ra sự chậm trễ trong các khâu báo cáo tài chính và làm ảnh hưởng đến quy trình kiểm toán, báo cáo của công ty”, công ty này cho biết thêm.

Điều đáng chú ý là các vectơ tấn công của BigDebIT đã xuất hiện trong báo cáo lỗ hổng PAYDAY trên EBS được phát hiện bởi Onapsis ba năm trước, và sau đó Oracle cũng đã phát hành một loạt các bản vá vào cuối tháng 4 năm 2019 để khắc phục lỗi bảo mật này.

Tấn công vào Sổ cái chung nhằm gian lận tài chính

Bị theo dõi và phát hiện với tên gọi CVE-2020-2586CVE-2020-2587, các lỗ hổng mới nằm trong Hệ thống quản lý nhân sự của Oracle (HRMS), ở một bộ phận có tên là Sơ đồ phân cấp (Hierarchy Diagrammer), cho phép người dùng tạo ra một mô hình phân cấp thứ bậc và chức vụ trong doanh nghiệp. Cùng với nhau, hai lỗ hổng này có thể bị khai thác ngay cả khi người dùng EBS đã cập nhật các bản vá được phát hành vào tháng 4 năm 2019.

“Tuy nhiên, điều khác biệt là các bản vá này vẫn chưa thực sự hoàn thiện, vậy nên, ngay cả các hệ thống đã được cập nhật cũng có thể dễ dàng trở thành mục tiêu tấn công, do đó, người dùng được khuyến nghị nên ưu tiên cài đặt Bản vá bảo mật nghiêm trọng (Critical Patch Update) của tháng Một,” công ty này tuyên bố trong một ghi chú được đăng vào tháng Giêng.

Một trong những hậu quả của lỗi bảo mật này là, nếu không được khắc phục nhanh chóng, nó sẽ trở thành yếu điểm dễ bị lợi dụng bởi những kẻ tấn công để thực hiện các hoạt động gian lận tài chính và đánh cắp thông tin bí mật trên các hệ thống kế toán của công ty.

Oracle General Ledger là một phần mềm cho phép quản lý hiệu quả và tự động hóa các hoạt động tài chính, có chức năng như một kho lưu trữ thông tin kế toán và được tích hợp trong phần mềm E-Business Suite – một bộ gồm các ứng dụng quản trị doanh nghiệp tổng thể (ERP – Enterprise Resource Planning), quản lý chuỗi cung ứng (SCM – Supply Chain Management), và quản lý quan hệ khách hàng (CRM – Customer Relationship Management) – mà người dùng có thể áp dụng và triển khai vào các doanh nghiệp của họ.

General Ledger cũng được sử dụng để tạo các báo cáo tài chính của doanh nghiệp cũng như thực hiện các công việc kiểm toán đảm bảo tuân thủ theo Đạo luật SOX năm 2002 (Sarbanes–Oxley Act).

Kẻ tấn công có thể phá vỡ tính minh bạch của các báo cáo này bằng cách khai thác lỗ hổng để sửa đổi các báo cáo quan trọng trong sổ cái, bao gồm cả việc gian lận và thao túng các nghiệp vụ trên bảng cân đối kế toán của công ty.

“Chẳng hạn như, kẻ tấn công có thể sửa đổi Bảng cân đối thử – danh sách tập hợp các tài khoản trên sổ cái được trình bày dưới dạng 2 cột Nợ và Có – một cách thầm lặng, và làm báo cáo tài chính trở nên sai lệch, thiếu chính xác.”, Onapsis nói.

Tính cấp bách của việc vá các lỗ hổng bảo mật nghiêm trọng

Cân nhắc các rủi ro tài chính có thể xảy ra, Onapsis khuyến nghị các công ty đang sử dụng Oracle EBS nên nhanh chóng thực hiện kiểm tra, đánh giá lại phần mềm để đảm bảo không bị ảnh hưởng bởi những lỗ hổng này, và sau đó nên sớm cập nhật các bản vá mới nhất để khắc phục tình trạng này.

“Các tổ chức cần lưu ý rằng các công cụ GRC hiện tại và các phương pháp bảo mật truyền thống khác (như tường lửa, kiểm soát truy cập, SoD và các công cụ khác) sẽ không hiệu quả trong việc ngăn chặn loại tấn công này vào các hệ thống Oracle EBS dễ bị xâm phạm”, các nhà nghiên cứu này cảnh báo.

“Nếu các tổ chức đang sử dụng hệ thống Oracle EBS có kết nối internet (internet-facing), thì hậu quả của các cuộc tấn công mạng này sẽ còn nghiêm trọng hơn rất nhiều. Các tổ chức bị tấn công sẽ không hề biết gì về cuộc tấn công và cũng không nhận thức được mức độ thiệt hại của nó cho đến khi các bằng chứng được tìm thấy bởi một kiểm toán viên nội bộ hoặc bên ngoài có nhiều kinh nghiệm.”

Theo The Hacker News