Trong một báo cáo mới đây của Công ty an ninh mạng doanh nghiệp Onapsis (Hoa Kỳ) đã tiết lộ chi tiết về các lỗ hổng bảo mật trên phần mềm E-Business Suite (EBS) của Oracle - một bộ giải pháp tích hợp các ứng dụng được thiết kế để tự động hóa các hoạt động quản lý quan hệ khách hàng (CRM), quản trị doanh nghiệp tổng thể (ERP) và quản lý chuỗi cung ứng (SCM) cho tổ chức.
Các lỗ hổng được đặt tên là “BigDebIT” với điểm số 9,9/10 trên hệ thống đánh giá lỗ hổng Common Vulnerability Scoring System (CVSS) và đã được Oracle khắc phục trong Bản vá bảo mật nghiêm trọng (Critical Patch Update - CPU ) tung ra vào đầu tháng 01/2020. Tuy nhiên, công ty cũng cho biết thêm, tính đến thời điểm hiện tại, khoảng 50% khách hàng của Oracle EBS vẫn chưa cập nhật bản vá mới nhất này.
Các lỗ hổng này có thể bị kẻ tấn công lợi dụng để nhắm vào các công cụ kế toán như General Ledger nhằm đánh cắp thông tin nhạy cảm và thực hiện các hoạt động lừa đảo tài chính. Việc khai thác thành công lỗ hổng này sẽ cho phép kẻ tấn công đánh cắp các dữ liệu tài chính, gây ra sự chậm trễ trong các khâu báo cáo tài chính và làm ảnh hưởng đến quy trình kiểm toán, báo cáo của công ty.
Theo các nhà nghiên cứu, “một hacker không xác thực có thể thực hiện khai thác tự động trên mô-đun của General Ledger để trích xuất tài sản từ một công ty (như tiền mặt) và sửa đổi bảng kế toán mà không để lại bất kỳ dấu vết nào”.
Điều đáng chú ý là BigDebIT đã xuất hiện trong báo cáo lỗ hổng PAYDAY trên EBS được phát hiện bởi Onapsis ba năm trước. Sau đó, Oracle cũng đã phát hành một loạt các bản vá vào cuối tháng 4/2019.
Hai lỗ hổng định danh là CVE-2020-2586 và CVE-2020-2587 nằm trong Hệ thống quản lý nhân sự của Oracle (HRMS), ở một bộ phận có tên là Sơ đồ phân cấp (Hierarchy Diagrammer), cho phép người dùng tạo ra một mô hình phân cấp thứ bậc và vị trí trong doanh nghiệp. Hai lỗ hổng này có thể bị khai thác ngay cả khi người dùng EBS đã cập nhật các bản vá được phát hành vào tháng 4/2019. Nếu không được khắc phục nhanh chóng, nó sẽ trở thành yếu điểm dễ bị lợi dụng bởi những kẻ tấn công để thực hiện các hoạt động gian lận tài chính và đánh cắp thông tin bí mật trên các hệ thống kế toán của công ty.
Oracle General Ledger là một phần mềm cho phép quản lý tự động hóa các hoạt động tài chính, có vai trò như một kho lưu trữ thông tin kế toán, được tích hợp trong phần mềm E-Business Suite giúp người dùng có thể áp dụng và triển khai vào các doanh nghiệp của họ. General Ledger cũng được sử dụng để tạo các báo cáo tài chính của doanh nghiệp cũng như thực hiện các công việc kiểm toán đảm bảo tuân thủ theo Đạo luật SOX năm 2002.
Kẻ tấn công có thể phá vỡ sự tin tưởng này bằng cách khai thác lỗ hổng để sửa đổi các báo cáo quan trọng trong General Ledger, bao gồm cả việc thao túng các giao dịch trên bảng cân đối kế toán của một công ty.
Do liên quan tới rủi ro tài chính, các công ty sử dụng Oracle EBS được khuyến cáo nên thực hiện đánh giá ngay lập tức để đảm bảo họ không bị ảnh hưởng bởi các lỗ hổng này và áp dụng các bản vá để khắc phục chúng.
"Các tổ chức cần lưu ý rằng các công cụ quản lý rủi ro hiện tại và các phương thức bảo mật truyền thống khác (tường lửa, kiểm soát truy cập, phân quyền để tránh gian lận và các công cụ khác) sẽ không hiệu quả trong việc ngăn chặn loại tấn công này vào các hệ thống Oracle EBS dễ bị xâm nhập", các nhà nghiên cứu cảnh báo.
Nếu các tổ chức có hệ thống Oracle EBS được phơi ra Internet, khả năng mối đe dọa tiềm tàng sẽ được tăng lên đáng kể. Các tổ chức bị tấn công sẽ không biết về cuộc tấn công và không biết mức độ thiệt hại cho đến khi tìm thấy bằng chứng từ kiểm toán nội bộ hoặc bên ngoài.
Anh Nguyễn
(Theo The Hacker News)
09:00 | 07/02/2018
15:00 | 21/07/2020
15:00 | 28/07/2020
08:04 | 01/08/2017
09:23 | 25/08/2016
07:00 | 09/10/2020
11:00 | 16/05/2024
Kể từ tháng 3/2024, các nhà nghiên cứu của công ty an ninh mạng Zscaler đã phát hiện một nhóm tin tặc sử dụng các tên miền giả để mạo danh các trang web quét IP hợp pháp nhằm phát tán backdoor có tên là MadMxShell. Những kẻ tấn công đăng ký nhiều tên miền trông giống nhau bằng cách sử dụng kỹ thuật Typosquatting và tận dụng quảng cáo Google Ads để đẩy các tên miền này lên đầu kết quả tìm kiếm, từ đó thu hút nạn nhân truy cập các trang web độc hại. Bài viết sẽ tiến hành phân tích kỹ thuật và cơ sở hạ tầng của các tác nhân đe dọa trong chiến dịch này dựa trên báo cáo của Zscaler.
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
10:00 | 24/04/2024
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một hacker bị cáo buộc đã đánh cắp cơ sở dữ liệu quan trọng do Tập đoàn giao dịch chứng khoán Luân Đôn (LSEG) duy trì có chứa thông tin về những kẻ khủng bố, tội phạm tiềm năng và các cá nhân có nguy cơ cao hiện đang bị đe dọa rò rỉ hàng loạt dữ liệu nhạy cảm.
10:00 | 17/05/2024
