Oracle PeopleSoft

Линейка приложений Oracle PeopleSoft включает решения для управления человеческим капиталом (Oracle PeopleSoft Human Capital Management), для управления финансами (Oracle PeopleSoft Financial Management), взаимодействием с поставщиками (Oracle PeopleSoft Supplier Relationship Management), управления операционными процессами (Oracle PeopleSoft Enterprise Services Automation), цепочками поставок (Oracle PeopleSoft Supply Chain Management), а также средства для разработчиков.

История

2019: Исправление 13 уязвимостей

17 октября 2019 года стало известно, что компания Oracle исправила 219 опасных уязвимостей в разных линейках продуктов. Приложение PeopleSoft получило 13 исправлений. Подробнее здесь.

2015: Продолжаются атаки на приложения Oracle PeopleSoft

3 мая 2015 года компания Digital Security представила результаты исследования безопасности приложений Oracle PeopleSoft, проведенного Алексеем Тюриным, руководителем департамента аудита ИБ.

Согласно выводам эксперта, на 3 июня 2015 года разработчик не уделяет достаточного внимания безопасности приложений. Исследованием выявлен ряд уязвимостей в PeopleSoft, самая опасная из которых допускает атаку класса «повышение привилегий». Российский рынок цифровизации телекома: ключевые тренды и ИТ-поставщики. Обзор TAdviser 5.3 т

Системы PeopleSoft часто доступны из сети Интернет и к некоторым компонентам необходим доступ без регистрации: например, к странице восстановления пароля или к форме подачи резюме на вакансию. Для этого в Oracle PeopleSoft существует специальный пользователь с минимальными правами. При входе система автоматически аутентифицирует вас под этой учетной записью. Это позволяет осуществить атаку класса «повышение привилегий», подобрав аутентификационную cookie – TokenID. TokenID генерируется на основе алгоритма хэширования SHA1, при этом, согласно вновь полученным данным, буквенно-цифровой пароль из 8 знаков расшифровывается за один день на современной видеокарте, которая обойдется злоумышленнику примерно в $500.

В исследовании отмечается - инсталляция Oracle PeopleSoft обычно представляет собой сложную процедуру, когда устанавливаются много приложений, и стоит атакующему получить доступ к слабейшему компоненту, как далее он может с легкостью проникнуть в другие компоненты.

Выбор вектора атаки зависит от целей злоумышленника. Пять последствий атак на Oracle PeopleSoft (среди множества):

• Кража SSN, она же кража личности. Номера социального страхования сотрудников хранятся в системах HRM (управление человеческими ресурсами). Злоумышленник может использовать SSN жертвы, чтобы получить другие персональные данные или взять кредит от ее имени. Зарегистрировать новый номер вместо скомпрометированного непросто: неизвестно, примет ли Управление социального обеспечения решение в пользу потерпевшего. Риску подвержены все компании, использующие PeopleSoft HRMS, особенно государственный сектор.

• Данные платежных карт сотрудников и клиентов (имя держателя, номер карты, дата истечения срока действия, CVV-код) хранятся во многих приложениях Oracle PeopleSoft. При утечке данных эта информация может быть украдена. Жертвой атаки может стать любое предприятие, но прежде всего – сфера розничной торговли.

• С доступом к PeopleSoft Enterprise Service Automation (автоматизация служб предприятия) атакующий может подделать критичную для бизнеса информацию о стадии выполнения проекта и тем самым подтолкнуть руководство к принятию неверных решений, что приведет к растрате ресурсов, невыполнению договорных обязательств и репутационным потерям. Это сценарий саботажа, наиболее актуален для сферы производства.

• Оборотные активы организации, от помещений и оборудования до подвижного состава и производственных машин, – главное средство достижения целей предприятия. PeopleSoft Asset Lifecycle Management (управление жизненным циклом активов) позволяет контролировать эти ресурсы и планировать их техническое обслуживание. Система Asset Lifecycle Management обычно подключена к производственному цеху. Доступ к этому приложению подразумевает возможность подделать данные о состоянии оборудования. Далее есть два сценария развития событий:
• атакующий может сфабриковать сообщение о том, что новая деталь скоро выйдет из строя, и компания потратит лишние деньги
• реально внедрить в систему ложные данные о том, что износившаяся деталь на самом деле новая, а это грозит производственной аварией. Такой сценарий класса «саботаж» угрожает фирмам-производителям.

• Приложение PeopleSoft Supplier Relationship Management (управление взаимоотношениями с поставщиками) хранит информацию о тендерах и договорах. Если атакующий получит доступ к коммерческим предложениям, он может объявить более выгодную цену и выиграть тендер обманным путем. Это чревато репутационными и финансовыми потерями для компании, проводящей тендер.

Исследователь Digital Security обнаружил множество угроз в приложениях Oracle PeopleSoft со стороны всех типов злоумышленников: инсайдеров, разработчиков и даже хакеров из Интернета. По количеству и опасности уязвимостей проблема сопоставима с совокупными последствиями трех наиболее критичных брешей в безопасности, обнаруженных в приложениях SAP за последние пять лет, при этом большинство уязвимостей годами не исправляются.

Алексей Тюрин считает, что положение Oracle PeopleSoft хуже, чем было пять лет назад у SAP. На рынке безопасности SAP сейчас возросла осведомленность (более сотни презентаций на конференциях по ИБ за пять лет), появились специалисты, продукты и реальные примеры атак, включая недавний взлом американской государственной компании USIS. С точки зрения возможных атак ситуация с безопасностью Oracle PeopleSoft в пять раз хуже, судя только по количеству публично подтвержденных инцидентов.

«Тем не менее, опубликованных исследований безопасности приложений PeopleSoft практически нет. В то время как злоумышленники активно эксплуатируют имеющиеся уязвимости, компании не владеют методологией тестирования установленных у них приложений Oracle PeopleSoft на наличие уязвимостей, особенно архитектурных. Oracle регулярно публикует краткую информацию о проблемах безопасности в ее приложениях. Для злоумышленников этих данных может оказаться достаточно, что и подтверждается, как минимум, пятью известными фактами об утечках, получившими огласку. К сожалению, сообщество специалистов по ИБ мало знает об анализе этих систем. Итак, наша миссия – помочь клиентам и компаниям-консультантам правильно оценивать и защищать критичные для бизнеса системы», - отметил Алексей Тюрин, выступая на Hack In The Box (HITB) в Амстердаме, в конце мая 2015 года.

2013: Россияне обнаружили опасные уязвимости в приложениях Oracle PeopleSoft

В конце июля 2013 г. в ходе конференции по ИБ BlackHat в США российская компания Digital Security представила отчет об обнаруженных ей уязвимостях в приложениях Oracle PeopleSoft. По словам представителей компании, найденные уязвимости позволяют третьим лицам получить доступ в систему и завладеть критичными данными о персонале или поставщиках, использующимися в приложениях, вплоть до номеров социального страхования и, возможно, даже данных о держателях карт.

При этом возможна не только кража данных, но и вызов отказа в обслуживании корпоративной системы или подмена критичных данных, включая информацию о банковских счетах, добавляют в Digital Security.

«Сочетание уязвимостей XML, архитектурных проблем и таких особенностей конфигурации, как хранение паролей в открытом виде, позволяло получить полный доступ к системе», - отмечают представители компании.

Информацию об обнаруженных уязвимостях Digital Security передала в Oracle, после чего последняя оперативно выпустила патч, устраняющий эти проблемы безопасности.

Ранее Digital Security также обнаружила уязвимость, позволявшую осуществить отказ в обслуживании с помощью одного HTTP-запроса на странице входа в приложения Oracle PeopleSoft, рассказывают в компании. Она была устранена еще в январе 2011 г.

Технический директор Digital Security Александр Поляков рассказал TAdviser, что пять лет назад компания очень активно искала искали уязвимости в СУБД Oracle. Тогда он написал книгу «Безопасность Oracle глазами аудитора: нападение и защита» (2009) и провел множество презентаций.

«Сейчас продукт PeopleSoft был выбран потому, что он активно развивается и используется по всему миру, производитель делает на него большие ставки даже при наличии Fusion, - говорит он. - Кроме того, в прошлом году на BlackHat нас спрашивали про этот продукт, мы и решили им заняться. В США у этого продукта большой рынок».

В Digital Security также отмечают, что исследование Oracle PeopleSoft, в ходе которого были обнаружены уязвимости, не ставило задачей найти все существующие проблемы. Его целью был обзор безопасности этого ПО в целом с указанием его основных недостатков.

2011

Корпорация Oracle выпустила в апреле 2011 года пакет обновления программного обеспечения PeopleSoft, чтобы преодолеть разрыв функциональности разных ERP-решений от Oracle. Пакет управление финансами и цепочками поставок (Financials and Supply Chain Management - FSCM) добавляет новые функциональные возможности SCM для пользователей PeopleSoft 9.1. Как сообщает Oracle, около 1200 клиентов уже перешли на новую 9,1 версию. В дополнение к обновленной функциональности автоматизации финансовых операций, клиенты будут иметь доступ к новым функциям управления цепочками поставок с возможностью таргетинга, управления инвентаризацией и поиска.

Особенностью нового функционала FSCM также является новое приложение People Soft Mobile Inventory Management(Мобильное управление запасами). Через это новое приложение персоналу, использующим Windows на своих мобильных устройствах и портативных компьютерах, можно автоматизировать различные операции инвентаризации. Это улучшит точность и оперативность инвентаризации, что в конечном итоге повыcит производительность труда. Новые возможности также помогут работникам управлять сопроводительными документами, котировками и владеть необходимой для этого информации. Пакет обновлений дает пользователям больше контроля и безопасности.