Разработчики: | PeopleSoft |
Дата последнего релиза: | 2014/12/15 |
Технологии: | HRM |
Содержание |
Линейка приложений Oracle PeopleSoft включает решения для управления человеческим капиталом (Oracle PeopleSoft Human Capital Management), для управления финансами (Oracle PeopleSoft Financial Management), взаимодействием с поставщиками (Oracle PeopleSoft Supplier Relationship Management), управления операционными процессами (Oracle PeopleSoft Enterprise Services Automation), цепочками поставок (Oracle PeopleSoft Supply Chain Management), а также средства для разработчиков.
История
2019: Исправление 13 уязвимостей
17 октября 2019 года стало известно, что компания Oracle исправила 219 опасных уязвимостей в разных линейках продуктов. Приложение PeopleSoft получило 13 исправлений. Подробнее здесь.
2015: Продолжаются атаки на приложения Oracle PeopleSoft
3 мая 2015 года компания Digital Security представила результаты исследования безопасности приложений Oracle PeopleSoft, проведенного Алексеем Тюриным, руководителем департамента аудита ИБ.
Согласно выводам эксперта, на 3 июня 2015 года разработчик не уделяет достаточного внимания безопасности приложений. Исследованием выявлен ряд уязвимостей в PeopleSoft, самая опасная из которых допускает атаку класса «повышение привилегий». Каскадная AI-валидация дефектов кода для оптимизации процесса исправления
Системы PeopleSoft часто доступны из сети Интернет и к некоторым компонентам необходим доступ без регистрации: например, к странице восстановления пароля или к форме подачи резюме на вакансию. Для этого в Oracle PeopleSoft существует специальный пользователь с минимальными правами. При входе система автоматически аутентифицирует вас под этой учетной записью. Это позволяет осуществить атаку класса «повышение привилегий», подобрав аутентификационную cookie – TokenID. TokenID генерируется на основе алгоритма хэширования SHA1, при этом, согласно вновь полученным данным, буквенно-цифровой пароль из 8 знаков расшифровывается за один день на современной видеокарте, которая обойдется злоумышленнику примерно в $500.
В исследовании отмечается - инсталляция Oracle PeopleSoft обычно представляет собой сложную процедуру, когда устанавливаются много приложений, и стоит атакующему получить доступ к слабейшему компоненту, как далее он может с легкостью проникнуть в другие компоненты.
Выбор вектора атаки зависит от целей злоумышленника. Пять последствий атак на Oracle PeopleSoft (среди множества):
- Кража SSN, она же кража личности. Номера социального страхования сотрудников хранятся в системах HRM (управление человеческими ресурсами). Злоумышленник может использовать SSN жертвы, чтобы получить другие персональные данные или взять кредит от ее имени. Зарегистрировать новый номер вместо скомпрометированного непросто: неизвестно, примет ли Управление социального обеспечения решение в пользу потерпевшего. Риску подвержены все компании, использующие PeopleSoft HRMS, особенно государственный сектор.
- Данные платежных карт сотрудников и клиентов (имя держателя, номер карты, дата истечения срока действия, CVV-код) хранятся во многих приложениях Oracle PeopleSoft. При утечке данных эта информация может быть украдена. Жертвой атаки может стать любое предприятие, но прежде всего – сфера розничной торговли.
- С доступом к PeopleSoft Enterprise Service Automation (автоматизация служб предприятия) атакующий может подделать критичную для бизнеса информацию о стадии выполнения проекта и тем самым подтолкнуть руководство к принятию неверных решений, что приведет к растрате ресурсов, невыполнению договорных обязательств и репутационным потерям. Это сценарий саботажа, наиболее актуален для сферы производства.
- Оборотные активы организации, от помещений и оборудования до подвижного состава и производственных машин, – главное средство достижения целей предприятия. PeopleSoft Asset Lifecycle Management (управление жизненным циклом активов) позволяет контролировать эти ресурсы и планировать их техническое обслуживание. Система Asset Lifecycle Management обычно подключена к производственному цеху. Доступ к этому приложению подразумевает возможность подделать данные о состоянии оборудования. Далее есть два сценария развития событий:
- атакующий может сфабриковать сообщение о том, что новая деталь скоро выйдет из строя, и компания потратит лишние деньги
- реально внедрить в систему ложные данные о том, что износившаяся деталь на самом деле новая, а это грозит производственной аварией. Такой сценарий класса «саботаж» угрожает фирмам-производителям.
- Приложение PeopleSoft Supplier Relationship Management (управление взаимоотношениями с поставщиками) хранит информацию о тендерах и договорах. Если атакующий получит доступ к коммерческим предложениям, он может объявить более выгодную цену и выиграть тендер обманным путем. Это чревато репутационными и финансовыми потерями для компании, проводящей тендер.
Исследователь Digital Security обнаружил множество угроз в приложениях Oracle PeopleSoft со стороны всех типов злоумышленников: инсайдеров, разработчиков и даже хакеров из Интернета. По количеству и опасности уязвимостей проблема сопоставима с совокупными последствиями трех наиболее критичных брешей в безопасности, обнаруженных в приложениях SAP за последние пять лет, при этом большинство уязвимостей годами не исправляются.
Алексей Тюрин считает, что положение Oracle PeopleSoft хуже, чем было пять лет назад у SAP. На рынке безопасности SAP сейчас возросла осведомленность (более сотни презентаций на конференциях по ИБ за пять лет), появились специалисты, продукты и реальные примеры атак, включая недавний взлом американской государственной компании USIS. С точки зрения возможных атак ситуация с безопасностью Oracle PeopleSoft в пять раз хуже, судя только по количеству публично подтвержденных инцидентов.
«Тем не менее, опубликованных исследований безопасности приложений PeopleSoft практически нет. В то время как злоумышленники активно эксплуатируют имеющиеся уязвимости, компании не владеют методологией тестирования установленных у них приложений Oracle PeopleSoft на наличие уязвимостей, особенно архитектурных. Oracle регулярно публикует краткую информацию о проблемах безопасности в ее приложениях. Для злоумышленников этих данных может оказаться достаточно, что и подтверждается, как минимум, пятью известными фактами об утечках, получившими огласку. К сожалению, сообщество специалистов по ИБ мало знает об анализе этих систем. Итак, наша миссия – помочь клиентам и компаниям-консультантам правильно оценивать и защищать критичные для бизнеса системы», - отметил Алексей Тюрин, выступая на Hack In The Box (HITB) в Амстердаме, в конце мая 2015 года.
2013: Россияне обнаружили опасные уязвимости в приложениях Oracle PeopleSoft
В конце июля 2013 г. в ходе конференции по ИБ BlackHat в США российская компания Digital Security представила отчет об обнаруженных ей уязвимостях в приложениях Oracle PeopleSoft. По словам представителей компании, найденные уязвимости позволяют третьим лицам получить доступ в систему и завладеть критичными данными о персонале или поставщиках, использующимися в приложениях, вплоть до номеров социального страхования и, возможно, даже данных о держателях карт.
При этом возможна не только кража данных, но и вызов отказа в обслуживании корпоративной системы или подмена критичных данных, включая информацию о банковских счетах, добавляют в Digital Security.
«Сочетание уязвимостей XML, архитектурных проблем и таких особенностей конфигурации, как хранение паролей в открытом виде, позволяло получить полный доступ к системе», - отмечают представители компании.
Информацию об обнаруженных уязвимостях Digital Security передала в Oracle, после чего последняя оперативно выпустила патч, устраняющий эти проблемы безопасности.
Ранее Digital Security также обнаружила уязвимость, позволявшую осуществить отказ в обслуживании с помощью одного HTTP-запроса на странице входа в приложения Oracle PeopleSoft, рассказывают в компании. Она была устранена еще в январе 2011 г.
Технический директор Digital Security Александр Поляков рассказал TAdviser, что пять лет назад компания очень активно искала искали уязвимости в СУБД Oracle. Тогда он написал книгу «Безопасность Oracle глазами аудитора: нападение и защита» (2009) и провел множество презентаций.
«Сейчас продукт PeopleSoft был выбран потому, что он активно развивается и используется по всему миру, производитель делает на него большие ставки даже при наличии Fusion, - говорит он. - Кроме того, в прошлом году на BlackHat нас спрашивали про этот продукт, мы и решили им заняться. В США у этого продукта большой рынок».
В Digital Security также отмечают, что исследование Oracle PeopleSoft, в ходе которого были обнаружены уязвимости, не ставило задачей найти все существующие проблемы. Его целью был обзор безопасности этого ПО в целом с указанием его основных недостатков.
2011
Корпорация Oracle выпустила в апреле 2011 года пакет обновления программного обеспечения PeopleSoft, чтобы преодолеть разрыв функциональности разных ERP-решений от Oracle. Пакет управление финансами и цепочками поставок (Financials and Supply Chain Management - FSCM) добавляет новые функциональные возможности SCM для пользователей PeopleSoft 9.1. Как сообщает Oracle, около 1200 клиентов уже перешли на новую 9,1 версию. В дополнение к обновленной функциональности автоматизации финансовых операций, клиенты будут иметь доступ к новым функциям управления цепочками поставок с возможностью таргетинга, управления инвентаризацией и поиска.
Особенностью нового функционала FSCM также является новое приложение People Soft Mobile Inventory Management(Мобильное управление запасами). Через это новое приложение персоналу, использующим Windows на своих мобильных устройствах и портативных компьютерах, можно автоматизировать различные операции инвентаризации. Это улучшит точность и оперативность инвентаризации, что в конечном итоге повыcит производительность труда. Новые возможности также помогут работникам управлять сопроводительными документами, котировками и владеть необходимой для этого информации. Пакет обновлений дает пользователям больше контроля и безопасности.
Заказчик | Интегратор | Год | Проект |
---|---|---|---|
- Росбанк | Kertios Consulting (Кертиос Консалтинг) | 2012.09 | |
- Правительство штата Калифорния | Accenture | --- |
Подрядчики-лидеры по количеству проектов
Directum (Директум) (741)
Первый Бит (374)
Компас (287)
1С-Архитектор бизнеса (1АБ Мастер) (211)
Корпорация Галактика (203)
Другие (2854)
Directum (Директум) (110)
Танаис (Tanais) (9)
Softline (Софтлайн) (8)
Docsvision (ДоксВижн) (8)
HRlink (Инновации в управлении кадрами) (8)
Другие (182)
Directum (Директум) (80)
Гарант-Чебоксары (19)
Танаис (Tanais) (12)
HRlink (Инновации в управлении кадрами) (12)
Softline (Софтлайн) (11)
Другие (239)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
1С Акционерное общество (24, 1183)
Directum (Директум) (3, 1122)
Компас (1, 364)
Корпорация Галактика (2, 345)
SAP SE (30, 301)
Другие (429, 1666)
Directum (Директум) (1, 233)
Docsvision (ДоксВижн) (1, 19)
1С Акционерное общество (7, 16)
SAP SE (4, 9)
HRlink (Инновации в управлении кадрами) (1, 8)
Другие (27, 44)
Directum (Директум) (1, 236)
Docsvision (ДоксВижн) (1, 40)
1С Акционерное общество (6, 25)
HRlink (Инновации в управлении кадрами) (1, 12)
Elma (Элма, Интеллект Лаб, Практика БПМ) (2, 8)
Другие (27, 58)
Directum (Директум) (2, 149)
1С Акционерное общество (6, 21)
HRlink (Инновации в управлении кадрами) (1, 11)
Docsvision (ДоксВижн) (1, 8)
Корус Консалтинг (1, 8)
Другие (27, 66)
Directum (Директум) (2, 243)
1С Акционерное общество (6, 20)
HRlink (Инновации в управлении кадрами) (1, 10)
TalentTech (Севергрупп ТТ) (2, 5)
Поток (ранее TalentTech) (2, 5)
Другие (28, 49)
Распределение систем по количеству проектов, не включая партнерские решения
Directum RX - 1112
1С:Зарплата и управление персоналом 8 - 884
Компас: Управление персоналом - 364
Галактика ERP: Контур управления персоналом - 345
БОСС-Кадровик - 205
Другие 1701
Directum RX - 233
Docsvision: Кадровый электронный документооборот (КЭДО) - 19
HRlink Система электронного кадрового документооборота - 8
Websoft HCM (ранее WebTutor) - 6
1С:Зарплата и управление персоналом 8 КОРП - 5
Другие 48
Directum RX - 236
Docsvision: Кадровый электронный документооборот (КЭДО) - 40
HRlink Система электронного кадрового документооборота - 12
1С:Зарплата и управление персоналом 8 - 8
ELMA365 КЭДО - 7
Другие 65