CIBERSEGURIDAD

Onapsis revela la vulnerabilidad de Oracle E-Business Suite

0 144 1 minuto de lectura


Onapsis, el proveedor líder de protección de aplicaciones comerciales ha revelado una nueva investigación de amenazas sobre una vulnerabilidad descubierta recientemente en Oracle E-Business Suite: Oracle PAYDAY.

Los escenarios de ataque aprovechan dos vulnerabilidades con puntuaciones CVSS de 9,9 sobre 10 en Oracle EBS, el software ERP de Oracle instalado en hasta 21.000 empresas. Onapsis descubrió e informó las vulnerabilidades a Oracle, que emitió parches a principios de este año. Onapsis estima que el 50% de los clientes de Oracle EBS no han implementado los parches. El hecho de que Oracle se ejecute principalmente en Java significa que el ataque sería relativamente sencillo de realizar por cualquier persona con conocimientos de Java y Oracle EBS.

La investigación de amenazas de Onapsis detalla dos escenarios de ataque:

  • Manipulación maliciosa del proceso de pago mediante transferencia bancaria a través del acceso no autenticado (que evitaría la segregación de funciones y controles de acceso), aunque un atacante puede cambiar las EFT aprobadas en el sistema EBS para redirigir los pagos de facturas a la cuenta bancaria del atacante, sin dejar rastro.
  • Crear e imprimir cheques bancarios aprobados a través del proceso de impresión de cheques de Oracle EBS y deshabilitar y borrar registros de auditoría para encubrir la actividad.

La gravedad de esta vulnerabilidad es evidente por la importancia de los sistemas ERP como Oracle para la función empresarial global. De hecho, el 77% de los ingresos globales pasará a través de un sistema ERP en algún momento, de los cuales los varios miles de clientes de EBS de Oracle son solo una proporción. En 2017, Oracle mismo realizó una simulación, Oracle seleccionó una estructura financiera realista derivada de una gran empresa típica basada en más de 25 años de experiencia con implementaciones de ERP. Esta simulación encontró que era posible crear 1.000.000 de pagos por hora, a través de 7.000.000 de líneas de factura importadas. Por lo tanto, los exploits exitosos de PayDay pueden pasar desapercibidos entre tantas transacciones.

Comentando sobre este informe de amenazas. Mariano Nunez, CEO y cofundador de Onapsis dicho:

“Esta investigación de amenazas demuestra algo que históricamente no se ha reportado crónicamente en TI y seguridad cibernética: que las aplicaciones críticas para el negocio, específicamente los sistemas ERP, utilizados por las organizaciones más grandes y confiables del mundo son vulnerables a los atacantes que roban potencialmente miles de millones. El consejo que brindaríamos a los usuarios de Oracle EBS a raíz de esta divulgación sería utilizar herramientas y servicios de diagnóstico para ayudarlos a resaltar las áreas más vulnerables de las operaciones comerciales y luego implementar los parches apropiados y los controles de compensación «.

El informe de amenazas está disponible aquí, y se puede encontrar el video de demostración que demuestra cómo los usuarios pueden manipular el proceso aquí.

Todas las empresas que utilizan Oracle deben asegurarse de que están ejecutando el último parche para garantizar una protección completa contra cualquier vulnerabilidad.

Publicaciones relacionadas

Hackers se hacen pasar por bancos canadienses en un ataque de phishing de dos años

El investigador genera miles de números de teléfono y los relaciona con cuentas de Facebook

Nuix: Industria de la ciberseguridad «Luchando la batalla equivocada durante 20 años»

OpenDNS lanza motor de búsqueda de seguridad para inteligencia de amenazas interactiva

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar