www.belgium.be Logo of the federal government

Critical Flaws in Oracle E-Business Suite

Referentie: 
Advisory #2019-024
Versie: 
1.0
Geïmpacteerde software: 
Oracle E-Business Suite versions 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7 and 12.2.8.
Type: 
Remote access & remote data manipulation

Bronnen

https://www.oracle.com/security-alerts/cpuapr2019.html#AppendixEM

https://www.bleepingcomputer.com/news/security/thousands-of-enterprises-at-risk-due-to-oracle-ebs-critical-flaws/

Risico’s

Een hacker kan na een succesvolle exploitatie de volledige controle overnemen van de volledige Enterprise Resource Planning (ERP)-oplossing van een onderneming. Dit is mogelijk door het wijzigen van toegangsrechten in  de "Consolidation Hierarchy Viewer" component (Oracle General Ledger module), en de ''message''  component (Oracle Work in Process module) binnen de  Oracle's E-Business Suite (EBS).

Beschrijving

De twee kritieke beveiligingsproblemen die in Oracle's E-Business Suite (EBS) werden ontdekt, geven hackers de mogelijkheid om de volledige controle over te nemen van de volledige ERP-oplossing van een onderneming.

CVE-2019-2638 (Consolidation Hierarchy Viewer component) en CVE-2019-2633 (Messages component) kregen beiden een 9,9 op 10 als CVSS-score.

Een hacker kan na het succesvol exploiteren onopgemerkt bankcheques afdrukken en elektronische overschrijvingen uitvoeren.

 

Aanbevolen acties

CERT.be raadt systeembeheerders aan om hun systemen onmiddellijk te patchen naar de laatste versie.