企業要面臨的資安問題越來越複雜,不僅自己要周全自家系統的安全性,現在,連合作或提供服務的廠商及產品,企業也必須要關注相關服務或產品的安全性,否則,廠商的漏洞就等於是駭客入侵企業的漏洞一般。
這也可以從日前,日盛證券使用第三方提供權證資訊服務業者,因其產品有SQL Injection(隱碼攻擊)的漏洞,也使得日盛證券被中國漏洞平臺烏雲通報,有數億筆資料外洩。後來,日盛證券雖然澄清受駭的範圍是第三方廠商提供的服務,而且沒有任何日盛證券使用者的機敏個資在內,但這麼一個驚嚇,對於日盛證券以及其他使用相同權證資訊服務的證券業者而言,都具有極大的殺傷力。
不過,除了日盛證券和其他因為使用同一間權證資訊服務、但尚未被通報的證券服務業者外,是不是還有其他企業也同樣面臨使用第三方廠商的產品,因為具有尚未修補的漏洞,導致企業面臨嚴重的資安問題呢?
答案是「有的」!根據烏雲在今年2月3日回報,預計在4月2日公開的漏洞資訊,就是鼎新電腦存在一個反序列化漏洞。若進一步搜尋與鼎新電腦相關的漏洞,且是具有Java反序列化漏洞(Deserialization)的產品,可以參考烏雲在2015年12月22日回報,並於今年2月7日公開的漏洞概要可以發現,這個有高資安漏洞的產品就是與鼎新電腦ERP整合度高的簽核流程系統EasyFlow GP。
換句話說,也就是有許多使用鼎新電腦簽核流程產品EasyFlow GP的企業,極有可能因為使用的簽核流程產品本身具有Java反序列化漏洞,反而成為企業的資安缺口。
Java反序列化漏洞帶來的風險,駭客可以遠端遙控執行
而所謂的序列化,是指資料結構的轉換,或可說是將物件(Object)轉換成方便儲存的特定格式資料的過程,以存放在資料庫、文件或硬碟中,便於在不同臺電腦中相互傳遞;而反序列化指的就是相反將特定格式資料轉換成物件的過程。
根據中國資安研究公司長亭科技部落格所寫的內容顯示,包括WebLogic、WebSphere、JBoss、Jenkins、OpenNMS這些Java應用和中介程式,都存在Java反序列化漏洞。這個反序列化漏洞對企業帶來的風險,就是駭客可以利用這個漏洞,進行遠端遙控,並執行植入的惡意程式。
如果從烏雲在2月7日對外揭露的訊息可以發現,鼎新電腦簽核流程產品EasyFlow GP所面臨的反序列化漏洞,對企業所帶來的風險包括:駭客可以做到執行任何一項指令外,也可以任意添加管理員帳號,同樣會影響其他臺主機的安全性,並可以讓伺服器取得執行系統指令權限(getshell)等等。
進一步觀察鼎新電腦的Java反序列化風險,早在2015年3月22日就有中國網友通報鼎新電腦面臨的Java反序列化漏洞,相關細節在同年6月24日公開後,即便烏雲有遮罩部分關鍵資訊,但還是有相關的漏洞細節外流。在2015年下半年,就陸陸續續有一些企業因為使用鼎新電腦的簽核流程產品EasyFlow GP而面臨該漏洞,而被烏雲通報,而在今年過年後,企業因為使用鼎新電腦簽核產品而被烏雲通報的數量大增,甚至超過10家相關企業被通報。
由於烏雲已經將鼎新電腦簽核產品的漏洞細節對外公開,連帶也促成許多中國的白帽駭客,積極透過相關的漏洞細節,找出其他使用鼎新電腦簽核產品的企業所面臨的資安風險,這些白帽駭客也藉此累積在烏雲網站的積分。
企業因為沒有繼續簽訂維護合約,難以進行產品安全性更新
因為企業簽核流程產品為了便利企業主管使用,即便人在外地也可以進行相關的內部簽核,所以,多半會將簽核流程的產品放在外網。而鼎新電腦企業簽核流程產品EasyFlow GP已經可以和該公司提供的入口網站EIP、ERP(企業資源規畫)系統、CRM(客戶關係管理)系統、BI(商業智慧)和文件管理等不同產品做進一步的整合,也可以讓企業的內部簽核流程更為順暢。
不過,這個Java反序列化漏洞是屬於中介層的漏洞,廠商通常不會說更新就更新,加上,對企業用戶而言,如果沒有跟鼎新電腦簽訂維護合約,鼎新電腦也不會主動更新客戶的簽核系統的漏洞,甚至,也擔心冒然更新,企業使用包括鼎新電腦ERP系統在內,都可能因為類似的漏洞,而面臨駭客進入內網的風險。
更令人憂心的是,許多企業因為將這個企業簽核產品放在公司的外網,本身面臨的資安風險就已經比放在內網的其他產品高,加上,鼎新電腦在協助許多企業規畫導入該產品前,往往也都沒有關注到應該有的外網安全與建議補強相關的資安防禦措施,伴隨著中介層因為沒有安全更新,而成為壓垮企業資安最後一根稻草。
根據有經驗的鼎新電腦系統使用者表示,將近9成9以上的企業,在安裝鼎新電腦的產品時,都會接受「建議」,將系統安裝在沒有其他非鼎新電腦產品的乾淨主機上;鼎新電腦業者也會提醒企業用戶,不要在該臺主機上安裝其他系統,以免影響產品效能等等。也因為安裝鼎新電腦企業簽核產品的主機相對單純,一旦有資安漏洞,讓駭客可以駭入公司內網、取得伺服器控制權限的話,就與鼎新電腦產品的安全性脫離不了關係。
不過,該名使用者也指出,以目前臺灣企業用戶的習慣,除了在產品安裝初期,會因為有系統客製化或者是初期的合約規定,會有購買相關的軟體維護合約外,多數企業目前不論是ERP產品或者是企業簽核等產品,都處於沒有維護合約狀態。
但是,在這時候,即便鼎新電腦的產品因為本身的資安漏洞,極有可能對企業帶來高度資安風險時,企業卻得因為沒有簽訂維護合約,而無法進一步更新產品、修補漏洞,以至於無法改善企業面臨的資安風險;如果企業因為想要確保產品的安全性而想要補簽維護合約,企業也必須將中斷的維護合約的金額一併補齊後,才可能更新產品。
因為企業不願意多花錢,去支付中斷時期的維護合約費用,往往無法順利完成產品的安全性更新,這個存在漏洞的鼎新電腦企業簽核產品,勢必成為許多使用企業的資安漏洞。
由於臺灣使用鼎新電腦ERP的企業用戶很多,連帶的,使用該公司企業簽核產品EasyFlow GP的企業數量也不少,當鼎新電腦的產品因為中介層的漏洞導致企業因此面臨資安風險時,使用相關產品的企業,勢必得先將該簽核產品進行安全性更新。否則,隨著下一波(預計為4月2日),烏雲平臺將進一步公開鼎新電腦企業簽核產品相關的安全性漏洞細節時,臺灣使用該產品的企業,將面臨更嚴重的資安風險,不可不慎。
本週(2/28~3/5)重要資安事件回顧:
※ 日盛證券澄清:外洩資料為第三方廠商提供權證行情,沒有客戶個資
※ 濫用市場地位不當使用用戶資料?Facebook在德國面臨壟斷調查
※ 用戶隱私與公權力爭議延燒:臉書主管拒交用戶資料遭巴西政府監禁近24小時
※ FBI認了!重設iCloud密碼錯失取得嫌犯iPhone資料良機
※ 微軟強化Windows 10安全推出Windows Defender進階威脅防護服務
※ 研究人員揭露重大的DROWN安全漏洞,全球1/3的HTTPS網站安全拉警報
※ Hacking Team東山再起?研究人員發現疑似該團隊打造的惡意程式
※ Akamai:2015年第四季DDoS攻擊增40%,中國是最大來源
※ IBM計畫收購事件回應資安業者Resilient Systems