По результатам данной работы в системе контроля защищенности и соответствия стандартам MaxPatrol в 2014 году появится полноценная поддержка этой важной платформы.
Система управления взаимоотношениями с клиентами Oracle Siebel CRM лидирует по количеству внедрений, ее используют свыше 5 млн пользователей и более 4500 крупнейших международных компаний энергетической, телекоммуникационной, промышленной и других отраслей.
В ходе исследования защищенности Oracle Siebel CRM эксперты Positive Technologies выявили множественные проблемы безопасности, способные привести к удаленному выполнению команд, доступу к внутренним ресурсам сети и файловой системе, отказу в обслуживании и раскрытию важных данных. Уязвимости CVE-2013-3841, CVE-2013-5761, CVE-2013-3840, CVE-2013-1510, CVE-2013-5867 обнаружены в Oracle Siebel CRM версий 8.1.1 и 8.2.2.
Помимо этого, в старейшей и наиболее известной в мире СУБД Oracle Database была обнаружена уязвимость CVE-2013-5771, которая позволяет злоумышленнику получить доступ к содержимому удаленных ресурсов и проводить атаки, направленные на отказ в обслуживании. Этой проблеме подвержены версии Oracle Database 11.1.0.7, 11.2.0.2, 11.2.0.3 и 12.1.0.1.
В проекте участвовали специалисты Positive Technologies Вячеслав Егошин, Никита Михалевский, Алексей Осипов, Дмитрий Серебрянников, Дмитрий Скляров, Александр Тляпов, Сергей Щербель и Тимур Юнусов, заслужившие официальные благодарности от американской компании.
В середине октября было представлено кумулятивное обновление безопасности Critical Patch Update (CPU), исправляющее эти и другие ошибки в различных продуктах Oracle. Отметим, что проверки на наличие всех выявленных уязвимостей включаются в базу знаний системы контроля защищенности и соответствия стандартам MaxPatrol, а часть этих проблем безопасности обнаруживается эвристическими механизмами MaxPatrol и без обновления базы знаний продукта.
«Positive Technologies активно развивает поддержку бизнес-приложений и ERP-систем в своих продуктах. В настоящее время к системам SAP, Oracle EBS добавляется поддержка Oracle Siebel CRM. Ключевой особенностью этой системы является значительная ее интегрированность в бизнес-процессы и большое количество связей с другими корпоративными приложениями. К сожалению, из-за сложности системы вопросы ее безопасности остаются, как правило, в стороне. Наша задача — помочь компаниям оценить и повысить уровень защищенности критически важных систем», — отметил Алексей Юдин, руководитель отдела безопасности баз данных и бизнес-приложений Positive Technologies.