Oracle 解決了其電子商務套件（EBS）業務管理解決方案中的兩個安全漏洞，這些漏洞可能使攻擊者能夠進行廣泛的惡意活動，包括篡改組織的財務記錄。

　　Oracle EBS 當前在全球成千上萬的組織中使用，其總帳管理系統（Oracle General Ledger）是一種自動財務處理軟件，可作為會計信息的存儲庫，并作為E-Business Suite（該公司的集成應用程序套件）的一部分提供，該套件涵蓋企業資源計劃（ERP），供應鏈管理（SCM），和客戶關系管理（CRM），用戶可以將其實施到自己的業務中。

　　總帳管理系統還可以用于生成公司財務報告以及進行審計，以確保公司能遵守 2002 年的 SOX 法案。

　　然而企業網絡安全公司 Onapsis 在 The Hacker News 上分享的報告中，披露了 Oracle 電子商務套件（EBS）中的存在的一些技術漏洞細節。

　　其中這個被稱為“ BigDebIT ”的漏洞，可能允許攻擊者執行廣泛的入侵活動，其中就包括篡改公司的財務記錄。

　　好在 CVE-2020-2586 和 CVE-2020-2587 以及被稱為“ BigDebIT”的漏洞已被 Oracle 公司于 2020 年 1 月修復。

　　但是該公司表示，截至目前為止，約有 50％ 的 Oracle EBS 客戶尚未更新漏洞補丁，所以依然有大量易受攻擊的 Oracle 系統暴露在網上。

　　如果您的業務運營和敏感數據的安全性依賴于 Oracle 的E-Business Suite（EBS），強烈建議立即進行評估測試，以確保不會受到這些涉及財務風險漏洞的影響，并及時下載該軟件的最新版本。

　　研究人員稱，不良行為者可能會利用這些安全漏洞來針對會計工具（例如 General Ledger），來竊取敏感信息并進行財務欺詐，并且不會留下任何痕跡。

　　Onapsis 證明：“一旦財務報告期結束，財務數據就不會更改。如果攻擊者在關閉期間和審計期間修改總賬報告，將對公司及其合規流程造成嚴重損害”，即使在財務報告期結束后，未經身份驗證的遠程攻擊者也可以利用 BigDebIT 漏洞來更改財務報告，從而繞過現有的安全解決方案并隱藏其活動。

　　“公司需要意識到，Oracle EBS 的系統易受此類入侵，當前的 GRC 工具和其他傳統安全方法（防火墻，訪問控制，SoD 和其他方法）都無法有效地防止攻擊。”

　　黑客如果利用該漏洞篡改數據，用戶很難（甚至不可能）發現到底是黑客篡改的還是實際業務的數值，除非通過非常廣泛的內部或外部審核找到證據，才能解釋為什么財務余額與系統數據不匹配，所以請使用這個系統的用戶不要掉以輕心，建議馬上對數據進行備份，并采取相應的安全措施。

　　參考鏈接：https://securityaffairs.co/wordpress/104840/hacking/bigdebit-flaws-oracle-ebs.html

　　*本文作者:日影飛趣，轉載請注明來自 FreeBuf.COM

總結

以上是生活随笔為你收集整理的Oracle EBS的新漏洞可以更改财务记录的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。