Other official information and services: www.belgium.be

Critical Flaws in Oracle E-Business Suite

Referentie:

Advisory #2019-024

Versie:

1.0

Geïmpacteerde software:

Oracle E-Business Suite versions 12.1.1, 12.1.2, 12.1.3, 12.2.3, 12.2.4, 12.2.5, 12.2.6, 12.2.7 and 12.2.8.

Type:

Remote access & remote data manipulation

CVE/CVSS:

CVE-2019-2638 - https://nvd.nist.gov/vuln/detail/CVE-2019-2638

CVE-2019-2633 - https://nvd.nist.gov/vuln/detail/CVE-2019-2633

Datum:

21/11/2019

Bronnen

https://www.oracle.com/security-alerts/cpuapr2019.html#AppendixEM

https://www.bleepingcomputer.com/news/security/thousands-of-enterprises-at-risk-due-to-oracle-ebs-critical-flaws/

Risico’s

Een hacker kan na een succesvolle exploitatie de volledige controle overnemen van de volledige Enterprise Resource Planning (ERP)-oplossing van een onderneming. Dit is mogelijk door het wijzigen van toegangsrechten in de "Consolidation Hierarchy Viewer" component (Oracle General Ledger module), en de ''message'' component (Oracle Work in Process module) binnen de Oracle's E-Business Suite (EBS).

Beschrijving

De twee kritieke beveiligingsproblemen die in Oracle's E-Business Suite (EBS) werden ontdekt, geven hackers de mogelijkheid om de volledige controle over te nemen van de volledige ERP-oplossing van een onderneming.

CVE-2019-2638 (Consolidation Hierarchy Viewer component) en CVE-2019-2633 (Messages component) kregen beiden een 9,9 op 10 als CVSS-score.

Een hacker kan na het succesvol exploiteren onopgemerkt bankcheques afdrukken en elektronische overschrijvingen uitvoeren.

Aanbevolen acties

CERT.be raadt systeembeheerders aan om hun systemen onmiddellijk te patchen naar de laatste versie.