Una investigación publicada por expertos en análisis de vulnerabilidades de la firma de seguridad Onapsis afirma que se han descubierto múltiples vulnerabilidades en E-Business Suite, de Oracle. De ser explotadas, estas fallas permitirían a los actores de amenazas obtener control total de transferencias electrónicas e incluso imprimir cheques sin ser detectados.
En el reporte se menciona que el ataque, conocido como Oracle Payday, consiste en la explotación de dos vulnerabilidades clave. Aunque Oracle asegura que la vulnerabilidad ha sido corregida, Onapsis menciona que la mitad de los usuarios de este software instalen las actualizaciones, por los que el riesgo sigue latente para más de 10 mil compañías que usan ERP.
A pesar de que la mayoría de las compañías que usan este software lo hacen sólo en intranet, los expertos en análisis de vulnerabilidades calculan que al menos unos mil 500 sistemas están conectados a Internet público. De no instalar los parches de seguridad, el ataque puede ser desencadenado por un hacker remoto no autenticado para obtener acceso completo al sistema expuesto.
Oracle EBS, que incluye un módulo de pagos que permite a las compañías transferir dinero de cuentas bancarias o generar cheques de pago, el riesgo potencial es enorme para cualquier compañía que opere con este sistema. Después de recibir el reporte de las vulnerabilidades, se le ha asignado al ataque Oracle Payday una puntuación de 9.9/10 en la escala del Common Vulnerability Scoring System (CVSS).
La primera actualización que Oracle lanzó para solucionar el problema viene de abril de 2018, a la que se suman algunos parches adicionales para corregir otros aspectos de la vulnerabilidad, incluyendo la más reciente solución, disponible para las fallas CVE-2019-2638 y CVE-2019 -2633, presentes en el paquete de actualizaciones Oracle Critical Patch Update.
Si bien el ERP incluye tablas de auditoría para los módulos de pago, ya que el protocolo SQL permite a los atacantes ejecutar consultas arbitrarias con usuarios de APPS, es posible deshabilitar y borrar estas tablas de registro de auditoría, mencionan especialistas en análisis de vulnerabilidades del Instituto Internacional de Seguridad Cibernética (IICS)
La firma de seguridad afirma que también cuentan con una prueba de concepto para el ataque, donde se demuestra una forma de detectar y eliminar estas tablas de auditoría, lo que no dejaría registro del ataque.
Fuente: noticiasseguridad.com
