Атака TokenChpoken на Oracle PeopleSoft угрожает половине крупных коммерческих и государственных компаний

Около половины систем Oracle PeopleSoft, доступных онлайн (42%, или 231 сервер), уязвимы к атаке TokenChpoken, представленной Алексеем Тюриным, директором департамента аудита ИБ Digital Security, на конференции Hack In Paris. Об этом CNews сообщили в компании Digital Security, специализирующейся на анализе защищенности систем и исследованиях в области ИБ. Реальных фактов состоявшихся атак TokenChpoken на сегодняшний день зафиксировано не было. Как пояснили в компании, атака использует уязвимость Oracle PeopleSoft, ранее обнаруженную специалистами Digital Security. В целом атака TokenChpoken позволяет вычислить корректный ключ от аутентификационного токена, войти в систему от имени любого пользователя и получить полный доступ. У злоумышленника также появляется возможность взломать другие системы компании и ее партнеров. «Стоит отметить, что инсталляция Oracle PeopleSoft обычно представляет собой сложную систему, состоящую из многих приложений. А это значит, что, стоит атакующему получить доступ к слабейшему компоненту системы, через него он сможет с легкостью проникнуть и в остальные компоненты», — подчеркнули в компании. По данным Digital Security, в наибольшей опасности — те системы, которые все еще используют для аутентификационных токенов пароль по умолчанию. Таких систем около 10%, но так как они легко находятся через Google. Воспользоваться брешью в их защите сможет даже пользователь, не обладающий специальными знаниями. Согласно новому исследованию Digital Security, проведенному исследовательским центром компании, публично доступные приложения Oracle PeopleSoft обычно используются компаниями из списка Fortune 500 и правительственными организациями. Уязвима почти половина компаний, использующих Oracle PeopleSoft HRMS. Более 200 из них могут быть атакованы через интернет, в том числе 18 компаний из списка Fortune 500 и 25 — из списка крупнейших государственных компаний мира Forbes 2000. Так, из открытых источников известно, что Oracle PeopleSoft установлена в таких федеральных агентствах, как Национальный финансовый центр Министерства сельского хозяйства США, Министерство здравоохранения и социальных служб США и Министерство финансов США. В целом продукт Oracle PeopleSoft используется более чем в 7 тыс. компаниях, в том числе в половине компаний из списка Fortune 100. Как пояснили в Digital Security, статистика, приведенная ниже, была собрана с помощью специальных Google-запросов. Исследование показало, что через интернет доступны 549 систем PeopleSoft, включая системы, установленные в банках (20 серверов), на производстве (17 серверов) и на предприятиях розничной торговли (24 сервера). Полученные данные эксперты компании разделили на три группы: оборонные и государственные организации (64 сервера), коммерческие предприятия (249 серверов, в том числе 169 в США) и образовательные учреждения (236 серверов). Наибольшая доля систем, доступных через интернет (по сравнению с общим количеством компаний из той или иной отрасли, использующих PeopleSoft), обнаружилась в следующих отраслях: здравоохранение (35%); образование (13%); оптовая торговля (7%); транспорт (6%); розничная торговля (5%). В свою очередь, организации с наивысшей долей уязвимых PeopleSoft-серверов относительно общего количества серверов, доступных онлайн, представляют следующие отрасли: благотворительность (85%); продовольствие и сельское хозяйство (83%); страхование (67%); промышленность (59%); розничная торговля (58%); транспорт (55%); правительственные институты (53%); здравоохранение (47%); образовательные учреждения (34%). Ссылка на источник