เผยความเป็นไปได้ในการโจมตีระบบ Oracle PeopleSoft

ในงานสัมมนา Hack in the Box ที่เพิ่งจัดขึ้นเมื่อไม่กี่วันที่ผ่านมา Alexey Tyurin หัวหน้าแผนกความปลอดภัย Oracle ของ ERPScan ผู้ให้บริการโซลูชันความปลอดภัยบนระบบ SAP ได้เปิดเผยช่องโหว่ที่ค้นพบบน Oracle PeopleSoft แอพพลิเคชัน ERP ชื่อดังอันดับสองรองจาก SAP ที่มีผู้ใช้งานมากกว่า 7000 บริษัท

ใช้วิธีการยกระดับสิทธิ์ผ่านการ Brute Force

PeopleSoft มักถูกเข้าถึงผ่านทางอินเตอร์เน็ต และบางส่วนของระบบก็จำเป็นต้องยินยอมให้ใช้งานก่อนที่จะมีการลงทะเบียน ไม่ว่าจะเป็น ระบบสมัครงานออนไลน์ หรือระบบลืมรหัสผ่าน ซึ่งปกติแล้ว PeopleSoft จะมอบสิทธิ์ขั้นต่ำให้ผู้ใช้ที่ไม่ได้ลงทะเบียนแต่ต้องการใช้ฟังก์ชันเหล่านี้ ตรงนี้เองที่เปิดโอกาสให้ผู้ไม่ประสงค์ดีสามารถโจมตีเพื่อยกระดับสิทธิ์ของตนเองให้สูงขึ้นได้ (Privilege Escalation) หนึ่งในวิธียอดนิยม คือ การทำ Brute Force ไปยัง Cookie ที่ใช้พิสูจน์ตัวตนที่เรียกว่า TokenID ซึ่งมีการเข้ารหัสโดยใช้ฟังก์ชันแฮช SHA-1 โดยจากข้อมูลล่าสุด พบว่าสามารถถอดฟังก์ชันแฮชดังกล่าวสามารถถอดรหัสได้ภายใน 1 วันโดยใช้ GPU ล่าสุดที่มีราคาเพียงแค่ $500 เหรียญสหรัฐฯเท่านั้น

5 รูปแบบผลกระทบของการโจมตี

กลวิธีการโจมตีระบบขึ้นอยู่กับเป้าหมายของแฮ็คเกอร์ ไม่ว่าจะเป็นการขโมยข้อมูล การทำลายข้อมูล หรือการโกง เป็นต้น ซึ่งส่วนใหญ่แล้วผลกระทบที่เกิดขึ้นมักจะตกอยู่ใน 1 ใน 5 รูปแบบดังต่อไปนี้

1. ขโมยหมายเลขประจำตัวประชาชน (Identity Theft) ข้อมูลส่วนบุคคลของพนักงานจะถูกเก็บอยู่ในระบบ Human Resource Management แฮ็คเกอร์สามารถนำหมายเลบัตรประชาชนของเหยื่อไปใช้เพื่อผลประโยชน์อื่นๆต่อได้
2. ขโมยข้อมูลบัตรเครดิต ซึ่งถูกเก็บอยู่ในหลายแอพพลิเคชันของ PeopleSoft ประกอบด้วย ชื่อผู้ถือบัตร, หมายเลขบัตร และ หมายเลข CVV ถ้าแอพพลิเคชันเหล่านี้ถูกโจมตี มีโอกาสสูงที่แฮ็คเกอร์จะสามารถขโมยข้อมูลบัตรเครดิต ซึ่งก่อให้เกิดการสูญเสียปริมาณมหาศาล
3. แฮ็คเกอร์สามารถเข้าถึงระบบ PeopleSoft Enterprise Service Automation ได้ ส่งผลให้สามารถปลอมข้อมูลเชิงธุรกิจที่สำคัญ เช่น ปลอมข้อมูลโปรเจ็คท์เพื่อให้หัวหน้างานตัดสินใจผิดพลาด ทำให้บริษัทต้องสูญเสียทรัพยากร เวลา และชื่อเสียง เป็นต้น
4. โจมตีระบบ PeopleSoft Asset Lifecycle Management ที่ใช้ในการติดตามและบริหารจัดการสินทรัพย์ของบริษัท ซึ่งผู้ไม่ประสงค์ดีอาจทำการปลอมข้อความที่ระบุว่าอุปกรณ์ที่ใช้งานอยู่ใกล้เสื่อมในไม่ช้า ส่งผลให้บริษัทต้องซื้ออุปกรณ์ใหม่ทั้งที่ยังไม่ถึงเวลา หรือตรงกันข้าม คือ หลอกระบบว่าอุปกรณ์ที่ใช้งานมานานยังใหม่อยู่ ส่งผลให้อาจเกิดความเสียหายต่ออุปกรณ์และผลิตภัณฑ์ที่ใช้อุปกรณ์ดังกล่าวได้
5. โจมตีระบบ PeopleSoft Supplier Relationship Management ซึ่งเก็บข้อมูลเกี่ยวกับซัพพลายเออร์และสัญญาต่างๆ แฮ็คเกอร์อาจใช้ประโยชน์จากสัญญาหรือข้อเสนอโครงการในการเสนอโครงการของตนเอง หรือนำไปขายให้บริษัทคู่แข่งได้

มีแนวโน้มการโจมตีรุนแรงกว่า SAP ถึง 5 เท่า

Alexey ยังกล่าวอีกว่า สถานการณ์ของ Oracle PeopleSoft นั้น ถือว่าแย่กว่า SAP เนื่องจากแฮ็คเกอร์มีประสบการณ์ในการโจมตีระบบ SAP และรู้ถึงโครงสร้างต่างๆเป็นอย่างดี แฮ็คเกอร์สามารถนำความรู้ที่มีมาประยุกต์ใช้เพื่อโจมตีระบบ PeopleSoft ได้ไม่ยากนัก จากเหตุการณ์เกี่ยวกับการโจมตีระบบ PeopleSoft ที่ถูกค้นพบและได้รับการยืนยัน พบว่ามีความรุนแรงมากกว่าที่พบในระบบ SAP ถึง 5 เท่าด้วยกัน

นอกจากนี้ ผู้ใช้ระบบ PeopleSoft ควรพึงระวังไว้ว่า ระบบดังกล่าวประกอบขึ้นโดยหลายๆแอพพลิเคชันทำงานร่วมกัน ถ้าแฮ็คเกอร์สามารถโจมตีแอพพลิเคชันใดแอพพลิเคชันหนึ่งได้สำเร็จ มีความเป็นไปได้ที่แฮ็คเกอร์จะสามารถเข้าถึงระบบข้างเคียงได้อย่างไม่ยากนัก

ที่มา: http://www.net-security.org/secworld.php?id=18432