Компания Digital Security, специализирующаяся на анализе защищенности систем, представила результаты исследования безопасности приложений Oracle PeopleSoft, проведенного Алексеем Тюриным, руководителем департамента аудита ИБ.

Несмотря на то, что Oracle — второй по величине доли на рынке поставщик ERP-приложений, а его продукт PeopleSoft используется более чем в 7000 организациях, в том числе, в половине списка Fortune 100, разработчик до сих пор не уделяет достаточного внимания безопасности приложений.

Исследование эксперта Digital Security выявило ряд уязвимостей в PeopleSoft, самая опасная из которых позволяет осуществить атаку класса «повышение привилегий». Суть в следующем. Системы PeopleSoft часто доступны из сети Интернет, причем к некоторым компонентам необходим доступ без регистрации: например, к странице восстановления пароля или к форме подачи резюме на вакансию. Для этого в Oracle PeopleSoft существует специальный пользователь с минимальными правами. При входе система автоматически аутентифицирует вас под этой учетной записью. Это позволяет осуществить атаку класса «повышение привилегий», подобрав аутентификационную cookie — TokenID. TokenID генерируется на основе алгоритма хэширования SHA1, при этом, согласно новейшим данным, буквенно-цифровой пароль из 8 знаков расшифровывается за один день на современной видеокарте, которая обойдется злоумышленнику примерно в $ 500. Стоит отметить, что инсталляция Oracle PeopleSoft обычно представляет собой сложную систему, состоящую из многих приложений. А это значит, что, стоит атакующему получить доступ к слабейшему компоненту, далее он сможет с легкостью проникнуть и в остальные компоненты.

Выбор вектора атаки зависит от цели злоумышленника. Разные атаки могут привести к шпионажу, саботажу либо мошенничеству. Вот пять самых серьезных последствий атак на Oracle PeopleSoft среди множества других:

  • кража SSN, она же кража личности. Номера социального страхования сотрудников хранятся в системах HRM (управление человеческими ресурсами). Злоумышленник может использовать SSN жертвы, чтобы получить другие персональные данные или взять кредит от ее имени. Зарегистрировать новый номер вместо скомпрометированного непросто: неизвестно, примет ли Управление социального обеспечения решение в вашу пользу. Риску подвержены все компании, использующие PeopleSoft HRMS, особенно государственный сектор;
  • данные платежных карт сотрудников и клиентов (имя держателя, номер карты, дата истечения срока действия, CVV-код) хранятся во многих приложениях Oracle PeopleSoft. В случае утечки данных эта информация может быть украдена. Жертвой атаки может стать любое предприятие, но в первую очередь — сфера розничной торговли;
  • с доступом к PeopleSoft Enterprise Service Automation (автоматизация служб предприятия) атакующий может подделать критичную для бизнеса информацию о стадии выполнения проекта и тем самым подтолкнуть руководство к принятию неверных решений, что приведет к растрате ресурсов, невыполнению договорных обязательств и репутационным потерям. Это сценарий саботажа, наиболее актуальный для сферы производства;
  • оборотные активы организации, от помещений и оборудования до подвижного состава и производственных машин, — главное средство достижения целей предприятия. PeopleSoft Asset Lifecycle Management (управление жизненным циклом активов) позволяет контролировать эти ресурсы и планировать их техническое обслуживание. Система Asset Lifecycle Management обычно подключена к производственному цеху. Доступ к этому приложению подразумевает возможность подделать данные о состоянии оборудования. Далее есть два сценария развития событий. Во-первых, атакующий может сфабриковать сообщение о том, что новая деталь скоро выйдет из строя, и компания потратит лишние деньги. Во-вторых, реально внедрить в систему ложные данные о том, что износившаяся деталь на самом деле новая, а это грозит производственной аварией. Такой сценарий класса «саботаж» угрожает фирмам-производителям;
  • приложение PeopleSoft Supplier Relationship Management (управление взаимоотношениями с поставщиками) хранит информацию о тендерах и договорах. Если атакующий получит доступ к коммерческим предложениям, он может объявить более выгодную цену и выиграть тендер обманным путем. Это чревато репутационными и финансовыми потерями для компании, проводящей тендер.

Исследователь Digital Security обнаружил множество угроз в приложениях Oracle PeopleSoft со стороны всех типов злоумышленников: инсайдеров, разработчиков и даже хакеров из Интернета. По количеству и опасности уязвимостей проблема сопоставима с совокупными последствиями трех наиболее критичных брешей в безопасности, обнаруженных в приложениях SAP за последние пять лет, а ведь большинство уязвимостей годами остаются неисправленными!

Положение Oracle PeopleSoft, по мнению Алексея Тюрина, даже хуже, чем было у SAP пять лет назад. На рынке безопасности SAP сейчас возросла осведомленность (более сотни презентаций на конференциях по ИБ за пять лет), появились специалисты, продукты и реальные примеры атак, включая недавний взлом американской государственной компании USIS. С точки зрения возможных атак ситуация с безопасностью Oracle PeopleSoft в пять раз хуже, судя только по количеству публично подтвержденных инцидентов.

В своем выступлении на Hack In The Box (HITB) в Амстердаме, ежегодной конференции для исследователей и профессионалов в сфере ИБ со всего мира в конце мая 2015 года, Алексей Тюрин отметил: «Тем не менее, опубликованных исследований безопасности приложений PeopleSoft практически нет. В то время как злоумышленники активно эксплуатируют имеющиеся уязвимости, компании не владеют методологией тестирования установленных у них приложений Oracle PeopleSoft на наличие уязвимостей, особенно архитектурных. Oracle регулярно публикует краткую информацию о проблемах безопасности в ее приложениях. Для злоумышленников этих данных может оказаться достаточно, что и подтверждается, как минимум, пятью известными фактами об утечках, получившими огласку. К сожалению, сообщество специалистов по ИБ мало знает об анализе этих систем. Итак, наша миссия — помочь клиентам и компаниям-консультантам правильно оценивать и защищать критичные для бизнеса системы».

Приложения PeopleSoft распространены во всем мире, но 72 % их пользователей — американские компании. Их принято считать решениями для вузов, но это не совсем верно. Oracle не предоставляет официальной статистики пользователей PeopleSoft, однако согласно спискам пользователей, полученным от третьих лиц, образовательный сектор составляет всего 36 %, или более 1900 компаний. Они также популярны в сферах производства (22 %, 1600 компаний), ИТ (18 %, 1000 компаний), розничной торговли (8 %, более 440 компаний) и в государственном секторе.

С 2010 года в СМИ был опубликован ряд новостей об утечках данных из-за уязвимостей в Oracle PeopleSoft. Например, в марте 2013 г. Государственный университет города Салем, штат Массачусетс, предупредил 25000 студентов и сотрудников о том, что их номера социального страхования (SSN), возможно, были скомпрометированы. Если эта тенденция сохранится, следует в скором времени ожидать еще полдюжины крупных взломов в образовательных учреждениях.