Критические уязвимости в Oracle: под угрозой системы управления предприятием и каталоги пользователей

vulnerability

Эксперты по кибербезопасности зафиксировали сразу две опасные уязвимости в корпоративных продуктах Oracle. Одна из них уже активно используется злоумышленниками в реальных атаках. Речь идет о компонентах платформы Oracle E-Business Suite и серверного программного обеспечения Oracle Unified Directory. Обе проблемы получили максимальные оценки критичности по шкале CVSS.

Детали уязвимостей

Первая уязвимость, зарегистрированная под идентификатором BDU:2026-08976 (CVE-2026-46817), обнаружена в компоненте File Transmission платежного модуля Oracle Payments. Эта система автоматизирует финансовые операции крупных предприятий. Ошибка кроется в небезопасном управлении привилегиями, что относится к категории CWE-269. Злоумышленник может удаленно отправить специально сформированный запрос по протоколу HTTP. При этом ему не требуется предварительная аутентификация в системе. После эксплуатации нарушитель получает полный контроль над приложением. Это означает, что он может похищать финансовые документы, изменять данные платежей или полностью нарушить работу бухгалтерии.

По данным Банка данных угроз безопасности информации (BDU), уязвимость затрагивает все версии Oracle E-Business Suite с 12.2.3 по 12.2.15 включительно. Базовая оценка опасности по стандарту CVSS версии 3.1 составляет 9,8 балла из 10 возможных. Производитель уже подтвердил наличие проблемы и выпустил обновление. Однако в открытых источниках зафиксированы случаи активного применения эксплойтов.

Вторая уязвимость, идентификатор BDU:2026-08708 (CVE-2026-46774), обнаружена в компоненте OUD Core приложения Oracle Unified Directory. Эта система используется для централизованного управления пользовательскими каталогами и аутентификации сотрудников в корпоративной сети. Ошибка связана с неправильным разграничением доступа (тип CWE-284). Она позволяет удаленному нарушителю без каких-либо учетных данных воздействовать на конфиденциальность, целостность и доступность защищаемой информации. Простыми словами, атакующий может прочитать, изменить или удалить данные о всех учетных записях предприятия, если сможет подключиться к уязвимому серверу. Уязвимость подтверждена производителем и затрагивает две версии продукта: 12.2.1.4.0 и 14.1.2.1.0. Оценка опасности по CVSS 3.1 также составляет максимальные 9,8 балла. Информация об активной эксплуатации пока уточняется, но сам факт наличия критического дефекта в решении для управления каталогами вызывает серьезное беспокойство у специалистов.

Обе проблемы объединяет одно - они позволяют атаковать системы без предварительного доступа к сети жертвы и без необходимости проходить аутентификацию. Это так называемые неаутентифицированные удаленные уязвимости. Для корпоративных продуктов Oracle, которые используются в десятках тысяч компаний по всему миру, такой сценарий особенно опасен. В зоне риска находятся не только крупные международные корпорации, но и государственные учреждения, финансовые организации и промышленные предприятия.

Разработчики компании Oracle уже выпустили исправления в рамках плановых обновлений безопасности. Для первой уязвимости патч доступен в бюллетене за май 2026 года, для второй - за июнь 2026 года. Ссылки на официальные рекомендации опубликованы на сайте вендора. Специалистам по информационной безопасности необходимо как можно скорее установить обновления на все затронутые системы.

Многие компании задерживают установку патчей, опасаясь нарушения бизнес-процессов. Однако в данном случае задержка может привести к полной компрометации системы управления финансами предприятия. Особенно критична ситуация для организаций, которые не используют системы обнаружения вторжений (IDS) и системы предотвращения вторжений (IPS). Без них атаку можно заметить только после того, как злоумышленник уже получил доступ к данным.

Эксперты рекомендуют протестировать обновления в изолированной среде и применить их в ближайшее окно технического обслуживания. Если прямое обновление невозможно, стоит как минимум ограничить доступ к платежному модулю по протоколу HTTP из внешних сетей. Для системы Oracle Unified Directory также необходимо проверить, не используется ли уязвимая версия в инфраструктуре. Каталоги пользователей часто являются приоритетной целью для хакерских групп, которые стремятся получить основу для дальнейшего продвижения по сети предприятия. Утечка данных аутентификации из такого каталога может привести к компрометации множества других корпоративных систем, включая электронную почту и файловые хранилища.

Ссылки

Комментарии: 0