Half of Oracle E-Business customers open to months-old bank fraud flaw

พบ Oracle E-Business Suite ยังไม่อัปเดตแพตช์จำนวนมาก มีความเสี่ยงต่อช่องโหว่ที่ใช้โกงเงินได้

Oracle E-Business Suite ของลูกค้านับพันรายมีช่องโหว่ด้านความปลอดภัยที่สามารถถูกใช้ประโยชน์สำหรับการโกงทางด้านการเงิน Onapsis บริษัทด้านความปลอดภัยได้ประมาณการว่ากว่าครึ่งของบริษัทที่ใช้ซอฟต์แวร์ Oracle EBS ยังไม่ได้รับการแพตช์ CVE-2019-2648 และ CVE-2019-2633 ถึงแม้จะมีแพตช์ออกมาตั้งแต่เดือนเมษายนที่ผ่านมาแล้วก็ตาม
สองช่องโหว่ได้ถูกอธิบายว่าเป็น reflected SQL injections ผู้โจมตีที่เข้าถึง EBS server อาจส่งคำสั่งไปยังเครื่องที่มีความเสี่ยง
ข้อบกพร่องนี้เป็นอันตรายต่อ EBS โดยเฉพาะเครื่องที่ใช้โมดูลการเงิน โมดูลการเงินนี้สามารถตั้งเวลาฝากเงินโดยตรงและการโอนเงินอัตโนมัติให้กับคู่ค้า รวมทั้งจัดการใบแจ้งหนี้และใบสั่งซื้อต่างๆ ซึ่งหากผู้โจมตีทำการ SQL injection ก็จะสามารถแก้ไขรายการโอนเงินเหล่านั้นในการนำเงินสดไปยังบัญชีที่พวกเขาต้องการ
การแนะนำสำหรับปัญหานี้คือการอัปเดตแพตช์ให้เป็นรุ่นล่าสุด

ที่มา : theregister

Read more