Vulnerabilidades en Oracle EBS podrían permitir imprimir cheques sin ser detectados

Oracle EBS (E-Business Suite), es un sistema ERP que ofrece una serie de módulos que pueden ser integrados entre sí, con esto se logra crear un sistema de gestión empresarial completo, entre sus módulos están:

  • Gestión de pedidos.
  • Logística.
  • Aprovisionamiento.
  • Finanzas, entre otras.

Para más información sobre Oracle EBS puede visitar: https://www.oracle.com/es/applications/ebusiness/

¿Qué pasó?

La firma de seguridad Onapsis ha descubierto múltiples vulnerabilidades en Oracle EBS, el ataque ha sido bautizado como Oracle PAYDAY y consiste en la explotación de dos vulnerabilidades con los siguientes identificadores: CVE-2019-2638 y CVE-2019 -2633. Los ataques permitirían a usuarios con bajos privilegios y con acceso a la red por medio de HTTP comprometer el Oracle General Ledger y el Oracle Work in Process, es decir un ataque exitoso puede llegar a dar lugar a la creación, eliminación y modificación de datos críticos. En otras palabras estas vulnerabilidades permitirían a un atacante obtener control total de transferencias electrónicas e incluso imprimir cheques sin ser detectados.

La siguiente imagen describe el proceso de explotación de las vulnerabilidades:

Oracle_img.png

Recomendaciones:

Siempre es recomendable tener todo nuestro software actualizado a la última versión disponible, en este caso Oracle EBS 12.2.9, en caso de no ser posible, la siguiente recomendación podría a mitigar el ataque:

  • Contar con un WAF (Web Application Firewalls), generalmente estas soluciones cuentan con cobertura para ciertos exploits y podrían ayudar a frenar el ataque.

Referencias:

Compartir: