Vulnerabilidades de Oracle E-Business Suite permitirían secuestro de operaciones comerciales

En un informe publicado por la empresa de ciberseguridad Onapsis, se revelaron detalles técnicos sobre las vulnerabilidades que informó en E-Business Suite (EBS) de Oracle, un grupo integrado de aplicaciones diseñadas para automatizar CRM, ERP y SCM operaciones para organizaciones.

Oracle parchó las dos vulnerabilidades, denominadas «BigDebIT» y calificó con un puntaje CVSS de 9.9, en una actualización de parche crítico (CPU) lanzada a principios de enero. Pero la compañía dijo que aproximadamente el 50 por ciento de los clientes de Oracle EBS no han implementado los parches hasta la fecha.

Los defectos de seguridad podrían ser explotados por atacantes para apuntar a herramientas de contabilidad como «General Ledger» en un intento de robar información confidencial y cometer fraude financiero.

https://thehackernews.com/images/-MQr2_aXQIiI/Xui5-9cxI7I/AAAAAAAAAdM/VNzUtWdNSSwy_NRApQRwIwfWGOU5kZApwCLcBGAsYHQ/s728-e100/oracle-software-hacking.jpg

Vale la pena señalar que los vectores de ataque BigDebIT se suman a las vulnerabilidades PAYDAY ya informadas en EBS descubiertas por Onapsis hace tres años, luego de lo cual Oracle lanzó una serie de parches hasta abril de 2019.

Identificado con los ID CVE-2020-2586 y CVE-2020-2587, los nuevos defectos residen en el Sistema de Gestión de Recursos Humanos (HRMS) de Oracle en un componente llamado Hierarchy Diagrammer que permite a los usuarios crear organizaciones y jerarquías de posición asociadas con una empresa. Juntos, pueden explotarse incluso si los clientes de EBS han implementado parches lanzados en abril de 2019.

Los defectos de Oracle E-Business Suite permiten a los atacantes secuestrar las operaciones comerciales.

«La diferencia es que con estos parches, se confirma que incluso con los sistemas actualizados son vulnerables a estos ataques y, por lo tanto, deben priorizar la instalación de la CPU de enero», dijo la compañía en una nota publicada en enero.

Si sus operaciones comerciales y la seguridad de los datos confidenciales dependen de E-Business Suite (EBS) de Oracle, asegúrese de haber actualizado recientemente y esté ejecutando la última versión disponible de software.

La importancia de aplicar la actualización de parche crítico

Dado el riesgo financiero involucrado, se recomienda que las empresas que usan Oracle EBS realicen una evaluación inmediata para asegurarse de que no están expuestas a estas vulnerabilidades y apliquen los parches para solucionarlos.

«Las organizaciones deben ser conscientes de que las herramientas GRC actuales y otros métodos de seguridad tradicionales (firewalls, controles de acceso, SoD y otros) serían ineficaces para prevenir este tipo de ataque en los sistemas vulnerables Oracle EBS. Si las organizaciones tienen sistemas Oracle EBS orientados a Internet, la probabilidad de amenaza potencial se vería significativamente aumentada. Las organizaciones bajo ataque no se darán cuenta del ataque y no conocerán el alcance del daño hasta que se encuentre evidencia de una auditoría interna o externa muy extensa». advierten los investigadores.

Referencias:

  • https://thehackernews.com/2020/06/oracle-e-business-suite.html
  • https://nvd.nist.gov/vuln/detail/CVE-2020-2586
  • https://nvd.nist.gov/vuln/detail/CVE-2020-2587