Три критические уязвимости в JD Edwards EnterpriseOne Tools: удалённая атака без аутентификации

vulnerability

Корпорация Oracle подтвердила наличие сразу трёх критических уязвимостей в системе управления ресурсами предприятия JD Edwards EnterpriseOne Tools. Эти проблемы затрагивают версии платформы с 9.2.0.0 по 9.2.26.2 включительно. Уязвимости получили максимальные оценки опасности по международной шкале CVSS (Common Vulnerability Scoring System - система оценки критичности уязвимостей).

Детали уязвимостей

В Банк данных угроз безопасности информации (BDU) ФСТЭК России добавлены записи о трёх недостатках безопасности. Все они связаны с неправильным контролем доступа. Другими словами, злоумышленник может удалённо обратиться к критичным функциям системы, которые должны быть защищены.

Первые две уязвимости BDU:2026-09472 (CVE-2026-46904) и BDU:2026-09473 (CVE-2026-46909) находятся в компоненте Enterprise Infrastructure Security. Они позволяют нарушителю воздействовать на конфиденциальность, целостность и доступность информации. Третья уязвимость BDU:2026-09474 (CVE-2026-46912) обнаружена в компоненте Web Runtime Security и даёт возможность изменять, добавлять или удалять данные.

JD Edwards EnterpriseOne Tools - это платформа для управления ресурсами крупных предприятий. Её используют в финансовом секторе, производстве, логистике и розничной торговле. Успешная атака на такую систему может привести к остановке бизнес-процессов, утечке финансовой отчётности или манипуляциям с заказами.

Особую тревогу вызывает вектор атаки. Все три уязвимости можно эксплуатировать удалённо, без аутентификации. Для этого злоумышленнику достаточно отправить специально сформированный запрос по протоколу HTTP. Это значит, что для атаки не нужен доступ к внутренней сети предприятия. Достаточно, чтобы система была подключена к интернету.

Базовый вектор уязвимостей по версии CVSS 3.1 выглядит так: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. Расшифруем эту запись. Атака возможна из сети (AV:N), сложность низкая (AC:L), права не требуются (PR:N), взаимодействие с пользователем не нужно (UI:N). Область действия не меняется (S:U). Последствия максимальные - полная потеря конфиденциальности (C:H), целостности (I:H) и доступности (A:H). Итоговая оценка - 9,8 балла из 10. Это критический уровень опасности.

Типы ошибок, которые приводят к уязвимостям, классифицированы согласно международному перечню CWE. Это неправильный контроль доступа (CWE-284) и отсутствие аутентификации для критичной функции (CWE-306). Для третьей уязвимости добавлено также раскрытие информации (CWE-200).

Таким образом, атакующий может не только получить доступ к данным, но и изменить их без какого-либо подтверждения личности. В системах класса ERP (Enterprise Resource Planning - планирование ресурсов предприятия) это означает возможность подменить платежные документы, изменить складские остатки или остановить производственные линии.

Под ударом все организации, использующие JD Edwards EnterpriseOne Tools версий от 9.2.0.0 до 9.2.26.2. Производитель уже выпустил исправление. Ссылка на бюллетень безопасности опубликована на официальном сайте Oracle. Тем не менее, обновление необходимо установить в кратчайшие сроки.

Наличие эксплойта (программы, реализующей атаку) пока не подтверждено. Однако это не означает, что уязвимости безопасны. Как показывает практика, после публикации бюллетеня безопасности злоумышленники начинают активно анализировать описание проблемы. В течение нескольких дней или даже часов могут появиться рабочие прототипы атак.

Первоочередная мера - установка критического обновления, выпущенного Oracle в рамках июньского цикла исправлений 2026 года. Перейти к нему можно по адресу, указанному в бюллетене.Пока обновление не установлено, стоит временно ограничить доступ к веб-интерфейсам JD Edwards EnterpriseOne Tools. Если система используется только внутри корпоративной сети, рекомендуется закрыть внешний доступ к портам, на которых работает платформа. Для HTTP-сервисов это обычно порты 80 и 443.  Кроме того, администраторам безопасности стоит проверить журналы доступа. Наличие подозрительных запросов с произвольными параметрами может указывать на попытки эксплуатации уязвимостей. Использование систем обнаружения вторжений (IDS) и веб-экранов (WAF - Web Application Firewall) может помочь отфильтровать вредоносные запросы.

Тот факт, что Oracle оперативно выпустила исправления, - положительный сигнал. Тем не менее, сама ситуация заставляет задуматься о качестве контроля доступа в ERP-системах. Крупные производители программного обеспечения для бизнеса всё чаще сталкиваются с критическими уязвимостями, которые позволяют удалённо управлять системами без пароля.

Для компаний, использующих JD Edwards EnterpriseOne Tools, текущий инцидент - повод пересмотреть политику управления обновлениями. Задержка с установкой исправлений на таких критических системах может стоить миллионы рублей. Особенно в условиях, когда атакующему не нужно ничего, кроме знания IP-адреса атакуемой системы. Специалистам по информационной безопасности стоит обратить внимание на уязвимости, связанные с отсутствием аутентификации. Это один из самых опасных классов ошибок. Его обнаружение в продукте уровня Oracle указывает на то, что даже зрелые системы не застрахованы от фундаментальных проблем в архитектуре безопасности.

Ссылки

Комментарии: 0