Passwörter bei Oracle PeopleSoft zu leicht zu knacken
PeopleSoft von Oracle verwaltet wichtige Business-Prozesse in großen Unternehmen. Wie jetzt herausgefunden wurde, können Angreifer die Anmeldung des Systems bei vielen Installationen mit Tricks umgehen und Daten kopieren oder manipulieren.
- Fabian A. Scherschel
Oracles PeopleSoft-Programme kommen bei vielen großen Firmen zum Einsatz, um wichtige Kunden- und Businessdaten zu verwalten. Zwei Forscher der Sicherheitsfirma ERPScan haben jetzt auf der Sicherheitskonferenz Hack in the Box in Amsterdam Konfigurationsprobleme bei der Software-Suite offengelegt. Angreifer könnten diese ausnutzen, um in entsprechende Systeme einzudringen und Daten zu manipulieren oder zu kopieren. Viele PeopleSoft-Installationen sind nach ihren Erkenntnissen so konfiguriert, dass Zugangspasswörter geknackt oder erraten werden können.
Die Forscher der auf SAP-Systeme spezialisierten Firma ERPScan entdeckten bei Sicherheitschecks der PeopleSoft-Systeme ihrer Kunden, dass in vielen Konfigurationen Standardpasswörter zum Einsatz kommen, die Angreifer leicht erraten können. Das größere Problem ist allerdings die Passwort-Wiederherstellungsfunktion der Software, die ein Token enthält, aus dem Passwörter mit roher Gewalt extrahiert werden können. Laut den ERPScan-Forschern sind diese SHA1-gehasht und können in vielen Fällen innerhalb eines Tages geknackt werden. Die Tokens können von Angreifern oft über öffentliche Webseite extrahiert werden, ohne dass sie selbst ein PeopleSoft-Nutzerkonto besitzen müssen.
Gegenüber der Forscher soll Oracle mitgeteilt haben, dass das Problem auf Demo-Installationen beschränkt sei. Allerdings widersprechen die ERPScan-Mitarbeiter dieser Einschätzung. Firmen sollten auf jeden Fall sicherstellen, dass ihre PeopleSoft-Installationen keine Standard-Passwörter benutzen und Nutzerpasswörter lang genug sind, um Brute-Force-Attacken zu widerstehen. (fab)
