Oracle ha parcheado 334 vulnerabilidades en todas sus familias de productos en su actualización de parche crítico (CPU) trimestral de enero de 2020. De estos, 43 son defectos críticos / severos que tienen puntajes CVSS de 9.1 y superiores. La CPU está vinculada al máximo histórico anterior de Oracle para la cantidad de parches emitidos, en julio de 2019 , que superó su récord anterior de 308 en julio de 2017.
La compañía dijo en un anuncio de pre-lanzamiento que algunas de las vulnerabilidades afectan a varios productos. «Debido a la amenaza que representa un ataque exitoso, Oracle recomienda encarecidamente que los clientes apliquen los parches de actualización de parches críticos lo antes posible», agregó.
“Algunas de estas vulnerabilidades eran explotables de forma remota, y no requerían ningún dato de inicio de sesión; por lo tanto, representa un riesgo extremadamente alto de exposición «, dijo Boris Cipot, ingeniero de seguridad senior de Synopsys, hablando con Threatpost. “Además, había parches de base de datos, nivel de sistema, Java y virtualización dentro del alcance de esta actualización. Todos estos son elementos críticos dentro de la infraestructura de una empresa, y por esta razón la actualización debe considerarse obligatoria. Al mismo tiempo, las organizaciones deben tener en cuenta el impacto que esta actualización podría tener en sus sistemas, y programar el tiempo de inactividad en consecuencia «.
Las actualizaciones incluyen correcciones para los productos más implementados de Oracle, incluido el Oracle Database Server (12 parches en total, tres explotables de forma remota sin autenticación; Oracle Communications Applications (25 parches, 23 explotables de forma remota sin autenticación, seis críticos); Oracle Enterprise Manager (50 parches , 10 explotables remotamente sin autenticación, cuatro críticos); Oracle Fusion Middleware (38 parches, 30 explotables remotamente sin autenticación, tres críticos); 19 nuevos parches de seguridad para Oracle MySQL (19 parches, seis explotables remotamente sin autenticación); y Oracle E -Business Suite (23 parches, 21 explotables de forma remota sin autenticación, dos críticos).
En sus plataformas de gestión de relaciones con los clientes (CRM), hay 15 parches para Oracle PeopleSoft (12 explotables de forma remota sin autenticación, dos críticos); y cinco parches para Oracle Siebel CRM (todos explotables de forma remota sin autenticación, dos críticos).
En el frente de software vertical específico, Oracle parcheó 12 errores en Oracle Construction and Engineering (ocho explotables de forma remota sin autenticación, dos críticos); 24 fallas para las aplicaciones de Oracle Financial Services (seis explotables de forma remota sin autenticación); un error para Oracle Food and Beverage Applications; tres para Oracle Health Sciences Applications (todas son explotables remotamente sin autenticación, tres críticas; cinco parches para Oracle Hospitality Applications (dos explotables remotamente sin autenticación); un parche para Oracle iLearning; nueve parches para Oracle JD Edwards (todos explotables remotamente sin autenticación, cuatro críticos); cuatro parches para Oracle Utilities Applications (todas estas vulnerabilidades explotables de forma remota sin autenticación, una es crítica);
La CPU masiva de enero también presenta 17 parches para Oracle Systems (ocho son explotables de forma remota sin autenticación, tres críticos); dos parches para Oracle Hyperion (uno es explotable remotamente sin autenticación y es crítico); ocho parches para Oracle Supply Chain (todos son explotables de forma remota sin autenticación, uno es crítico); Oracle GraalVM (cinco parches, tres explotables de forma remota sin autenticación, uno crítico); y 22 parches para Oracle Virtualization (tres de ellos son explotables de forma remota sin autenticación).
Y finalmente, el proveedor emitió 12 parches de seguridad para Oracle Java SE. Todas las vulnerabilidades son explotables de forma remota sin autenticación, y se consideran graves solo cuando un usuario que ejecuta un applet de Java o una aplicación Java Web Start tiene privilegios de administrador (típico en Windows).
«Los usuarios solo deben usar el complemento Java predeterminado y Java Web Start de las últimas versiones de JDK o JRE 8», según Oracle.
«Hay tanto por hacer con más de 300 parches», dijo Dustin Childs, gerente de la Iniciativa de Día Cero de Trend Micro, en un correo electrónico a Threatpost. “Si usted es un administrador de sistemas de Oracle, le recomiendo que se concentre primero en los parches que pueden explotarse sin interacción del usuario y no requieren autenticación. Específicamente, los errores como CVE-2020-11058 y CVE-2019-2904 deberían poner nerviosos a los administradores de la base de datos Oracle. También hay múltiples parches para corregir errores de 2016, 2017 y 2018, lo que muestra cuán malo puede ser el parche para sistemas complejos «.
Otros investigadores también notaron los otros defectos que aborda la actualización.
«Las organizaciones no deben pasar por alto los recientes parches críticos de seguridad lanzados por Oracle hoy», dijo a Threatpost Chris Hass, director de seguridad de la información e investigación en Automox. «CVE-2019-10072 [en Oracle Database Server], por ejemplo, existe desde hace algún tiempo, es fácilmente explotable y permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa el Workload Manager (Apache Tomcat)».
Agregó: “Lo que preocupa ahora es que cierta vulnerabilidad ha sido pública durante más de dos años, pero ahora se está abordando. Según mi experiencia, recomendaría a cualquier organización que utilice este producto que realice una auditoría de seguridad completa de su infraestructura para asegurarse de que esta vulnerabilidad no se haya utilizado para comprometer su entorno. Los fundamentos de la higiene cibernética no son solo un peso que los usuarios deben soportar, sino también uno que debe descansar en los fabricantes. Si algún fabricante no proporciona las actualizaciones y parches de seguridad adecuados y oportunos para los programas y la infraestructura que está vendiendo, está poniendo en riesgo a sus usuarios «.
También se agregó a la bonanza del parche del martes las actualizaciones de seguridad de Adobe para Illustrator CC para Windows y Experience Manager; mientras que Microsoft eliminó el martes de parches de enero de 2020, abordando 50 errores, con ocho clasificados como críticos, todo mientras elimina sus últimos parches regulares de Windows 7. Estos incluyeron un importante error de falsificación de cifrado (CVE-2020-0601) que afecta a los usuarios de Windows 10 y que fue encontrado por la NSA. Además, Intel emitió una actualización que incluye una falla de escalada de privilegios de alta gravedad.
«[Oracle CVE-2019-10072] también recibió una puntuación CVSS similar (8.1) como CVE-2020-0601», señaló Hass.
Fuente: threatpost.com
