Dos vulnerabilidades de seguridad críticas descubiertas en E-Business Suite (EBS) de Oracle podrían permitir a los posibles atacantes tomar el control total sobre la solución de planificación de recursos empresariales (ERP) de una empresa.
"Más de 21,000 organizaciones globales usan Oracle EBS para la gestión financiera, gestión de relaciones con los clientes (CRM), gestión de la cadena de suministro (SCM), gestión del capital humano (HCM), logística, compras y más", según Onapsis Research Labs.
Onapsis informó los problemas al Equipo de Respuesta de Seguridad de Oracle en diciembre de 2018 y ayudó a solucionar las vulnerabilidades, con parches lanzados como parte del Aviso de actualización de parches críticos de abril de 2019 de Oracle.
Vulnerabilidades críticas de ERP que conducen al fraude financiero
Los defectos de control de acceso incorrectos de Oracle EBS vienen con puntajes CVSS de 9.9 sobre 10, y se registran como CVE-2019-2638 (en el componente Consolidation Hierarchy Viewer del Oracle General Ledger) y CVE-2019-2633 (en el componente Mensajes del producto Oracle Work in Process).
Si se explota con éxito en un ataque, las dos fallas de seguridad permiten a los actores de amenazas evitar la detección mientras imprimen cheques bancarios y realizan transferencias electrónicas de fondos.
En este momento, el equipo de investigación de Onapsis estima que aproximadamente el 50% de todos los clientes de Oracle EBS aún no han implementado los parches.
"Miles de clientes de Oracle EBS, potencialmente hasta 10,000 organizaciones, podrían estar en riesgo ya que el componente afectado está presente en todas las instalaciones de EBS y no se puede desactivar", dice Opansis.
"Al mismo tiempo, los sistemas expuestos a Internet también pueden ser atacados como cualquier otro sistema en la red interna. Onapsis estima que hay al menos 1.500 sistemas EBS conectados directamente a Internet".
Los investigadores de amenazas de Onapsis detallan los siguientes dos escenarios posibles que permiten a los atacantes aprovechar los defectos para perseguir el fraude financiero:
- Manipulación malicioso del proceso de pago transferencia bancaria a través del acceso no autenticado (que evitaría la separación de funciones y controles de acceso), a través del cual un atacante puede cambiar transferencias electrónicas de fondos aprobados en el sistema EBS a los pagos de facturas cálculo de la ruta a la cuenta bancaria de un atacante, sin dejar rastro
- Crear e imprimir cheques bancarios aprobados a través del proceso de impresión de cheques de Oracle EBS y deshabilitar y borrar registros de auditoría para cubrir la actividad
Riesgos de violación de datos, medidas de mitigación
Los ataques que explotan estos problemas de seguridad de Oracle EBS también pueden conducir a la exposición y exfiltración de información financiera personal y comercial confidencial, como números de cuentas bancarias y tarjetas de crédito, lo que permite a los atacantes alterar o eliminar datos e incluso llegar a eventos de interrupción en todo el negocio.
Las empresas que se infiltran en sus sistemas ERP sin parches también enfrentan riesgos de cumplimiento de GDPR, CCPA o HIPAA de privacidad de datos, ya que el acceso no autorizado a información de identificación personal (PII) almacenada en los servidores de la compañía puede ser robada y filtrada después de los incidentes de seguridad.
"Este es el tipo de riesgo que generalmente preocupa a los ejecutivos y las juntas directivas sobre la posibilidad de una violación y una sanción posterior si no se aborda adecuadamente", agrega Onapsis Research Labs.
Estos graves defectos afectan toda la confidencialidad, integridad y disponibilidad de la información en el sistema ERP de una empresa. No hay una solución disponible para abordar estos problemas porque los componentes afectados se pueden encontrar en todas las implementaciones de Oracle EBS y no se pueden desactivar.
Para la protección contra ataques diseñados para abusar de los errores CVE-2019-2638 y CVE-2019-2633, los administradores deben aplicar la última actualización de Oracle Critical Patch que también implementará los últimos parches disponibles.
"Los escenarios de fraude financiero explicados en este documento son solo unos pocos vectores de ataque que un actor de amenaza puede aprovechar para explotar con éxito esta vulnerabilidad", concluyeron los investigadores. "La postexplotación no se limita necesariamente a estos ataques".
Fecha actualización el 2021-11-20. Fecha publicación el 2019-11-20. Categoría: oracle Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer Version movil