Kort nadat Oracle aan de wereld liet verstaan dat het geen hulp van buitenaf nodig had om zwakke plekken in zijn software te vinden, blijkt dat stagiairs van een beveiligingsbedrijf het bedrijf moesten wijzen op kwetsbaarheden.
In de oktoberpatch voor Oracle’s E-Business Suite werden twaalf kwetsbaarheden aangepakt. Zes daarvan werden aangetoond door beveiligingsbedrijf ERPScan. In een gesprek met Channelweb legt cto Alexander Polyakov uit hoe makkelijk dat was.
“Het kostte ons minder dan een dag om meer dan een dozijn problemen te ontdekken in Oracle E-Business Suite, hun belangrijkste zakelijke toepassing. Echt moeilijk was dat niet. XSS, SQL injecties, XSS en user enumeration vulnerabilities, de basis voor applicatiebeveiliging was er.”
Polyakov maakt het extra pijnlijk door te benadrukken hoe de zwakke plekken zijn ontdekt. “Ze zijn allemaal herkend door stagiairs van ons research team. Wat kunnen we daar nog aan toevoegen?”
Geen hulp nodig
De hevigheid van het beveiligingsbedrijf komt deels van Oracle’s eigen houding in augustus. Toen publiceerde het bedrijf een blogpost waarin het stelde dat klanten en consultants niet aan reverse engineering mogen doen met software van het bedrijf om fouten te ontdekken. Dit zou de voorwaarden van het softwarebedrijf schenden. Bovendien zou het bedrijf 87 procent van de beveiligingslekken zelf vinden.
De bewuste blogpost ging kort nadien weer offline, maar ze zorgde voor genoeg opschudding in de sector. Zo is het doorgaans net een goede zaak dat derde partijen hun neus in de software steken omdat beveiligingsproblemen zo net sneller worden ontdekt. “De beste manier om onderzoekers kwaad te krijgen, is door te zeggen dat je hen niet nodig hebt.”
Fout opgemerkt of meer nieuws? Meld het hier