Атака TokenChpoken на Oracle PeopleSoft угрожает половине крупных коммерческих и государственных компаний
15 июль 2015 18:20 #20093
от ICT
ICT создал тему: Атака TokenChpoken на Oracle PeopleSoft угрожает половине крупных коммерческих и государственных компаний
Около половины систем Oracle PeopleSoft, доступных онлайн (42%, или 231 сервер), уязвимы к атаке TokenChpoken, представленной Алексеем Тюриным, директором департамента аудита ИБ Digital Security, на конференции Hack In Paris. Об этом CNews сообщили в компании Digital Security, специализирующейся на анализе защищенности систем и исследованиях в области ИБ. Реальных фактов состоявшихся атак TokenChpoken на сегодняшний день зафиксировано не было. Как пояснили в компании, атака использует уязвимость Oracle PeopleSoft, ранее
обнаруженную
специалистами Digital Security. В целом атака TokenChpoken позволяет вычислить корректный ключ от аутентификационного токена, войти в систему от имени любого пользователя и получить полный доступ. У злоумышленника также появляется возможность взломать другие системы компании и ее партнеров. «Стоит отметить, что инсталляция Oracle PeopleSoft обычно представляет собой сложную систему, состоящую из многих приложений. А это значит, что, стоит атакующему получить доступ к слабейшему компоненту системы, через него он сможет с легкостью проникнуть и в остальные компоненты», — подчеркнули в компании. По данным Digital Security, в наибольшей опасности — те системы, которые все еще используют для аутентификационных токенов пароль по умолчанию. Таких систем около 10%, но так как они легко находятся через Google. Воспользоваться брешью в их защите сможет даже пользователь, не обладающий специальными знаниями. Согласно новому исследованию Digital Security, проведенному исследовательским центром компании, публично доступные приложения Oracle PeopleSoft обычно используются компаниями из списка Fortune 500 и правительственными организациями. Уязвима почти половина компаний, использующих Oracle PeopleSoft HRMS. Более 200 из них могут быть атакованы через интернет, в том числе 18 компаний из списка Fortune 500 и 25 — из списка крупнейших государственных компаний мира Forbes 2000. Так, из открытых источников известно, что Oracle PeopleSoft установлена в таких федеральных агентствах, как Национальный финансовый центр Министерства сельского хозяйства США, Министерство здравоохранения и социальных служб США и Министерство финансов США. В целом продукт Oracle PeopleSoft используется более чем в 7 тыс. компаниях, в том числе в половине компаний из списка Fortune 100. Как пояснили в Digital Security, статистика, приведенная ниже, была собрана с помощью специальных Google-запросов. Исследование показало, что через интернет доступны 549 систем PeopleSoft, включая системы, установленные в банках (20 серверов), на производстве (17 серверов) и на предприятиях розничной торговли (24 сервера). Полученные данные эксперты компании разделили на три группы: оборонные и государственные организации (64 сервера), коммерческие предприятия (249 серверов, в том числе 169 в США) и образовательные учреждения (236 серверов). Наибольшая доля систем, доступных через интернет (по сравнению с общим количеством компаний из той или иной отрасли, использующих PeopleSoft), обнаружилась в следующих отраслях: здравоохранение (35%); образование (13%); оптовая торговля (7%); транспорт (6%); розничная торговля (5%). В свою очередь, организации с наивысшей долей уязвимых PeopleSoft-серверов относительно общего количества серверов, доступных онлайн, представляют следующие отрасли: благотворительность (85%); продовольствие и сельское хозяйство (83%); страхование (67%); промышленность (59%); розничная торговля (58%); транспорт (55%); правительственные институты (53%); здравоохранение (47%); образовательные учреждения (34%).
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
«Лидер» представил инновационные киоски для государственных и коммерческих проектов | 13.8 | Вторник, 24 ноября 2015 |
У коммерческих компаний и госорганизаций РФ выросли расходы на решения с применением ИИ | 11.54 | Четверг, 06 мая 2021 |
Google выпустила ОС для крупных компаний | 11.46 | Четверг, 24 августа 2017 |
Fujitsu обновила мобильных и настольных ПК для крупных компаний | 11.22 | Вторник, 29 сентября 2015 |
Fujitsu обновила мобильные и настольные ПК для крупных компаний | 11.22 | Вторник, 29 сентября 2015 |
Около 20 крупных IT-компаний официально поддержали Apple в споре с ФБР | 11.1 | Пятница, 04 марта 2016 |
«ДоксВижн» разрабатывает ECM-платформу для крупных компаний и органов власти | 11.1 | Пятница, 21 октября 2016 |
Свыше 30 крупных IT-компаний подписали соглашение о противодействии кибератакам | 11.1 | Среда, 18 апреля 2018 |
Veeam отчиталась о росте количества заказов от крупных компаний на 58% | 11.1 | Четверг, 03 мая 2018 |
Платформа 1cloud.ru расширила возможности облака для крупных компаний | 11.1 | Четверг, 12 ноября 2020 |