PAYDAY: Ataque a Oracle E-Business activo meses después de estar corregido

La firma de seguridad Onapsis ha descubierto varias formas de comprometer el software Oracle E-Business Suite (Oracle EBS) aprovechando varios errores de seguridad conocidos.

El ataque, que ha sido bautizado como Oracle Payday, consiste en la explotación de dos vulnerabilidades de Oracle identificadas con los CVEs CVE-2019-2638 y CVE-2019 -2633, con una valoración CVSS de 9.9 sobre 10.

Estos fallos de seguridad disponen de parches desde el pasado mes de abril pero sin embargo más de la mitad de los clientes de Oracle EBS no han aplicado las soluciones en sus sistemas por lo que continuan siendo vulnerables, según revela el estudio de Onapsis.

Se detallan dos ejemplos de potenciales escenarios:

  • la manipulación del proceso de pago mediante una transferencia bancaria a través de un acceso no autenticado.
  • la creación e impresión de cheques bancarios aprobados, siendo posible además el borrado de los registros de actividad.

Además del informe, Onapsis ha publicado un vídeo en el cual se muestra el proceso.

https://www.youtube.com/watch?v=eKyZAToSUzk

Se trata de una situación crítica por la importancia de los sistemas ERP como Oracle EBS en la función del comercio global, acentuada por la existencia de miles de sistemas expuestos a Internet sin estar protegidos adecuadamente.

Más información:
Oracle PAYDAY Vulnerabilities
https://www.onapsis.com/oracle-payday-vulnerabilities

Oracle PAYDAY: vulnerabilidades críticas en Oracle E-Business Suit
https://blog.segu-info.com.ar/2019/11/oracle-payday-vulnerabilidades-criticas.html

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.