Hunderte PeopleSoft-Installationen verwundbar

ERPScan, ein auf Sicherheit von ERP-Systemen spezialisierter Anbieter, warnt jetzt, dass mehrere Hundert PeopleSoft-Installationen über eine Token-Plundering-Attacke öffentlich angreifbar sind. Die Betroffenen Unternehmen, Banken und öffentlichen Einrichtung liegen schwerpunktmäßig in den USA, doch auch in Deutschland wird diese Lösung eingesetzt.

Oracle gilt weltweit betrachtet als zweitgrößter ERP-Anbieter, veröffentlicht jedoch keine Nutzerzahlen von Peoplesoft. In Deutschland liegt Oracle mit einem Marktanteil von 1,9 Prozent (2013) nach SAP, Microsoft, Sage und Infor immerhin noch auf dem 5. Rang.

Bei seinen Recherchen habe er insgesamt 549 PeopleSoft Human Ressource Management Systeme gefunden, auf die öffentlich über das Internet zugegriffen werden kann. 249 davon sind Unternehmen, 236 Installationen wurden bei Universitäten gefunden, 64 Regierungsstellen und zudem 20 Banken. Etwa 70 Prozent dieser Installationen seien in den USA angesiedelt.

Von den gefundenen People-Soft-Installationen seien 231 jedoch über die TokenChpoken-Attacke angreifbar. Damit können Angreifer selbst Token erstellen. Die TokenChpoken Attacke wurde bereits auf der HackInParis Conference vorgestellt. Drunter befinden sich auch 18 der 500 größten Unternehmen. Des weiteren sind 25 Unternehmen der Top-2000 und einer der weltweit größten Pharma-Hersteller über das Leck angreifbar.

Über die Attacke lässt sich ein Key für Token finden. Anschließend kann der Angreifer sich unter einem beliebigen Account einloggen und hat vollen Zugriff auf das System. Zudem lasse sich der Angriff auch auf weitere Systeme und Daten-Silos ausweiten.

In einer Pressemitteilung erklärt das Unternehmen:

“In den meisten Fällen dauert es etwa einen Tag, um einen Token über ein spezielles Bruteforcing-Programm – für etwa 500 Dollar verfügbar – auf der aktuellsten GPU zu entschlüsseln. Unternehmen, die PeopleSoft einsetzen, haben im Schnitt etwa 5000 Mitarbeiter, damit kostet es etwa 10 Cent, um an die persönlichen Daten von einem Mitarbeiter zu kommen. Auf dem Schwarzmarkt bekommt man für solche Daten etwa 200 Dollar, damit ist diese Form des Angriffs ein sehr lohnendes Geschäft.

Die Angreifer bekommen Zugang auf Sozialversicherungsnummern, Kreditkarteninformationen, Daten zu Kunden und Verträgen oder auch Informationen, die sich für Sabotageakte in der Lieferkette missbrauchen lassen.

Hinzu komme, dass etwa 10 Prozent der verwundbaren Unternehmen noch die Default-Passwörter für die Tokens verwenden. “Hält man sich jetzt noch vor Augen, dass man diese Systeme einfach Googlen kann, dann ist tatsächlich jedes Script-Kiddie in der Lage, diese Verwundbarkeit auszunutzen.”