Oracle EBS的新漏洞可以更改财务记录

　　Oracle 解决了其电子商务套件（EBS）业务管理解决方案中的两个安全漏洞，这些漏洞可能使攻击者能够进行广泛的恶意活动，包括篡改组织的财务记录。

　　Oracle EBS 当前在全球成千上万的组织中使用，其总帐管理系统（Oracle General Ledger）是一种自动财务处理软件，可作为会计信息的存储库，并作为E-Business Suite（该公司的集成应用程序套件）的一部分提供，该套件涵盖企业资源计划（ERP），供应链管理（SCM），和客户关系管理（CRM），用户可以将其实施到自己的业务中。

　　总帐管理系统还可以用于生成公司财务报告以及进行审计，以确保公司能遵守 2002 年的 SOX 法案。

　　然而企业网络安全公司 Onapsis 在 The Hacker News 上分享的报告中，披露了 Oracle 电子商务套件（EBS）中的存在的一些技术漏洞细节。

　　其中这个被称为“ BigDebIT ”的漏洞，可能允许攻击者执行广泛的入侵活动，其中就包括篡改公司的财务记录。

　　好在 CVE-2020-2586 和 CVE-2020-2587 以及被称为“ BigDebIT”的漏洞已被 Oracle 公司于 2020 年 1 月修复。

　　但是该公司表示，截至目前为止，约有 50％ 的 Oracle EBS 客户尚未更新漏洞补丁，所以依然有大量易受攻击的 Oracle 系统暴露在网上。

　　如果您的业务运营和敏感数据的安全性依赖于 Oracle 的E-Business Suite（EBS），强烈建议立即进行评估测试，以确保不会受到这些涉及财务风险漏洞的影响，并及时下载该软件的最新版本。

　　研究人员称，不良行为者可能会利用这些安全漏洞来针对会计工具（例如 General Ledger），来窃取敏感信息并进行财务欺诈，并且不会留下任何痕迹。

　　Onapsis 证明： “一旦财务报告期结束，财务数据就不会更改。如果攻击者在关闭期间和审计期间修改总账报告，将对公司及其合规流程造成严重损害”，即使在财务报告期结束后，未经身份验证的远程攻击者也可以利用 BigDebIT 漏洞来更改财务报告，从而绕过现有的安全解决方案并隐藏其活动。

　　“公司需要意识到，Oracle EBS 的系统易受此类入侵，当前的 GRC 工具和其他传统安全方法（防火墙，访问控制，SoD 和其他方法）都无法有效地防止攻击。”

　　黑客如果利用该漏洞篡改数据，用户很难（甚至不可能）发现到底是黑客篡改的还是实际业务的数值，除非通过非常广泛的内部或外部审核找到证据，才能解释为什么财务余额与系统数据不匹配，所以请使用这个系统的用户不要掉以轻心，建议马上对数据进行备份，并采取相应的安全措施。

　　参考链接：https://securityaffairs.co/wordpress/104840/hacking/bigdebit-flaws-oracle-ebs.html

　　*本文作者:日影飞趣，转载请注明来自 FreeBuf.COM