Onapsis ha revelado una nueva investigación de amenazas sobre una vulnerabilidad recientemente descubierta en Oracle E-Business Suite: Oracle PAYDAY.
El ataque, que ha sido bautizado como Oracle Payday, consiste en la explotación de dos vulnerabilidades de Oracle identificadas con los CVEs CVE-2019-2638 y CVE-2019 -2633, con una valoración CVSS de 9.9 sobre 10.
Estos fallos de seguridad disponen de parches desde el pasado mes de abril pero sin embargo más de la mitad de los clientes de Oracle EBS no han aplicado las soluciones en sus sistemas por lo que continuan siendo vulnerables, según revela el estudio de Onapsis.
Se detallan dos ejemplos de potenciales escenarios:
- La manipulación del proceso de pago mediante una transferencia bancaria a través de un acceso no autenticado.
- La creación e impresión de cheques bancarios aprobados, siendo posible además el borrado de los registros de actividad.
Para mayor información:
- Oracle PAYDAY Vulnerabilities.
https://www.onapsis.com/oracle-payday-vulnerabilities
- Oracle PAYDAY: vulnerabilidades críticas en Oracle E-Business Suit.
https://blog.segu-info.com.ar/2019/11/oracle-payday-vulnerabilidades-criticas.html
Dato interesante: «En 2017, Oracle realizó una simulación: seleccionó una estructura financiera realista derivada de una gran empresa típica basada en la experiencia de más de 25 años. Esta simulación descubrió que era posible crear 1.000.000 de pagos por hora, a través de 7.000.000 líneas de factura importadas. Por lo tanto, las explotaciones exitosas de PayDay pueden pasar desapercibidas entre tantas transacciones.»