เผยความเป็นไปได้ในการโจมตีระบบ Oracle PeopleSoft

oracle_logo

ในงานสัมมนา Hack in the Box ที่เพิ่งจัดขึ้นเมื่อไม่กี่วันที่ผ่านมา Alexey Tyurin หัวหน้าแผนกความปลอดภัย Oracle ของ ERPScan ผู้ให้บริการโซลูชันความปลอดภัยบนระบบ SAP ได้เปิดเผยช่องโหว่ที่ค้นพบบน Oracle PeopleSoft แอพพลิเคชัน ERP ชื่อดังอันดับสองรองจาก SAP ที่มีผู้ใช้งานมากกว่า 7000 บริษัท

OAS_R2

ใช้วิธีการยกระดับสิทธิ์ผ่านการ Brute Force

PeopleSoft มักถูกเข้าถึงผ่านทางอินเตอร์เน็ต และบางส่วนของระบบก็จำเป็นต้องยินยอมให้ใช้งานก่อนที่จะมีการลงทะเบียน ไม่ว่าจะเป็น ระบบสมัครงานออนไลน์ หรือระบบลืมรหัสผ่าน ซึ่งปกติแล้ว PeopleSoft จะมอบสิทธิ์ขั้นต่ำให้ผู้ใช้ที่ไม่ได้ลงทะเบียนแต่ต้องการใช้ฟังก์ชันเหล่านี้ ตรงนี้เองที่เปิดโอกาสให้ผู้ไม่ประสงค์ดีสามารถโจมตีเพื่อยกระดับสิทธิ์ของตนเองให้สูงขึ้นได้ (Privilege Escalation) หนึ่งในวิธียอดนิยม คือ การทำ Brute Force ไปยัง Cookie ที่ใช้พิสูจน์ตัวตนที่เรียกว่า TokenID ซึ่งมีการเข้ารหัสโดยใช้ฟังก์ชันแฮช SHA-1 โดยจากข้อมูลล่าสุด พบว่าสามารถถอดฟังก์ชันแฮชดังกล่าวสามารถถอดรหัสได้ภายใน 1 วันโดยใช้ GPU ล่าสุดที่มีราคาเพียงแค่ $500 เหรียญสหรัฐฯเท่านั้น

5 รูปแบบผลกระทบของการโจมตี

กลวิธีการโจมตีระบบขึ้นอยู่กับเป้าหมายของแฮ็คเกอร์ ไม่ว่าจะเป็นการขโมยข้อมูล การทำลายข้อมูล หรือการโกง เป็นต้น ซึ่งส่วนใหญ่แล้วผลกระทบที่เกิดขึ้นมักจะตกอยู่ใน 1 ใน 5 รูปแบบดังต่อไปนี้

  1. ขโมยหมายเลขประจำตัวประชาชน (Identity Theft) ข้อมูลส่วนบุคคลของพนักงานจะถูกเก็บอยู่ในระบบ Human Resource Management แฮ็คเกอร์สามารถนำหมายเลบัตรประชาชนของเหยื่อไปใช้เพื่อผลประโยชน์อื่นๆต่อได้
  2. ขโมยข้อมูลบัตรเครดิต ซึ่งถูกเก็บอยู่ในหลายแอพพลิเคชันของ PeopleSoft ประกอบด้วย ชื่อผู้ถือบัตร, หมายเลขบัตร และ หมายเลข CVV ถ้าแอพพลิเคชันเหล่านี้ถูกโจมตี มีโอกาสสูงที่แฮ็คเกอร์จะสามารถขโมยข้อมูลบัตรเครดิต ซึ่งก่อให้เกิดการสูญเสียปริมาณมหาศาล
  3. แฮ็คเกอร์สามารถเข้าถึงระบบ PeopleSoft Enterprise Service Automation ได้ ส่งผลให้สามารถปลอมข้อมูลเชิงธุรกิจที่สำคัญ เช่น ปลอมข้อมูลโปรเจ็คท์เพื่อให้หัวหน้างานตัดสินใจผิดพลาด ทำให้บริษัทต้องสูญเสียทรัพยากร เวลา และชื่อเสียง เป็นต้น
  4. โจมตีระบบ PeopleSoft Asset Lifecycle Management ที่ใช้ในการติดตามและบริหารจัดการสินทรัพย์ของบริษัท ซึ่งผู้ไม่ประสงค์ดีอาจทำการปลอมข้อความที่ระบุว่าอุปกรณ์ที่ใช้งานอยู่ใกล้เสื่อมในไม่ช้า ส่งผลให้บริษัทต้องซื้ออุปกรณ์ใหม่ทั้งที่ยังไม่ถึงเวลา หรือตรงกันข้าม คือ หลอกระบบว่าอุปกรณ์ที่ใช้งานมานานยังใหม่อยู่ ส่งผลให้อาจเกิดความเสียหายต่ออุปกรณ์และผลิตภัณฑ์ที่ใช้อุปกรณ์ดังกล่าวได้
  5. โจมตีระบบ PeopleSoft Supplier Relationship Management ซึ่งเก็บข้อมูลเกี่ยวกับซัพพลายเออร์และสัญญาต่างๆ แฮ็คเกอร์อาจใช้ประโยชน์จากสัญญาหรือข้อเสนอโครงการในการเสนอโครงการของตนเอง หรือนำไปขายให้บริษัทคู่แข่งได้

มีแนวโน้มการโจมตีรุนแรงกว่า SAP ถึง 5 เท่า

Alexey ยังกล่าวอีกว่า สถานการณ์ของ Oracle PeopleSoft นั้น ถือว่าแย่กว่า SAP เนื่องจากแฮ็คเกอร์มีประสบการณ์ในการโจมตีระบบ SAP และรู้ถึงโครงสร้างต่างๆเป็นอย่างดี แฮ็คเกอร์สามารถนำความรู้ที่มีมาประยุกต์ใช้เพื่อโจมตีระบบ PeopleSoft ได้ไม่ยากนัก จากเหตุการณ์เกี่ยวกับการโจมตีระบบ PeopleSoft ที่ถูกค้นพบและได้รับการยืนยัน พบว่ามีความรุนแรงมากกว่าที่พบในระบบ SAP ถึง 5 เท่าด้วยกัน

นอกจากนี้ ผู้ใช้ระบบ PeopleSoft ควรพึงระวังไว้ว่า ระบบดังกล่าวประกอบขึ้นโดยหลายๆแอพพลิเคชันทำงานร่วมกัน ถ้าแฮ็คเกอร์สามารถโจมตีแอพพลิเคชันใดแอพพลิเคชันหนึ่งได้สำเร็จ มีความเป็นไปได้ที่แฮ็คเกอร์จะสามารถเข้าถึงระบบข้างเคียงได้อย่างไม่ยากนัก

oracle_peoplesoft_2

ที่มา: http://www.net-security.org/secworld.php?id=18432


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft เปิดตัว Dev Box ระบบ Cloud-based Developer Workstation Service ให้ทดลองใช้แบบ Preview

Microsoft เปิดตัว Dev Box ระบบ Cloud-based Developer Workstation Service ให้ทดลองใช้แบบ Preview

คู่มือ CRM ฉบับฟรีสำหรับ SME ไทย เผยวิธีช่วยหาลูกค้า ขายของให้สำเร็จ และรักษาลูกค้าใหม่ไว้ให้ได้

การสร้างฐานลูกค้าเป็นบททดสอบที่ยิ่งใหญ่สำหรับสตาร์ทอัปและ SME และยิ่งกลายเป็นความท้าทายที่ยิ่งใหญ่เดิมสำหรับในช่วงสองปีที่ผ่านมา สิ่งที่เปลี่ยนไปคือตอนนี้ลูกค้าคาดหวังจากธุรกิจมากกว่าแต่ก่อน ลูกค้าต้องการประสบการณ์ที่ดีกว่าเดิม เมื่อไปช้อปปิ้งออนไลน์หรือเมื่อมีคำถาม และลูกค้ายังต้องการเข้าถึงบริการแบบ Personalisation ตลอดเวลา และมีแนวโน้มมากขึ้นที่จะหันไปหาบริษัทที่ตอบสนองความต้องการของตนได้ ทั้งนี้ การปรับตัวให้ทันกับความคาดหวังของลูกค้าที่เปลี่ยนแปลงไป ได้ส่งผลกระทบต่อธุรกิจในยุคนี้เป็นอย่างมาก