Las fallas de Oracle E-Business Suite permiten que los piratas informáticos secuestren las operaciones comerciales

Paquete E-Business de Oracle (EBS)

Si sus operaciones comerciales y la seguridad de los datos confidenciales dependen de Paquete E-Business de Oracle (EBS)asegúrese de haber actualizado recientemente y esté ejecutando la última versión disponible del software.

En un informe publicado por la empresa de ciberseguridad empresarial Onapsis y compartido con The Hacker News, la empresa reveló hoy detalles técnicos de las vulnerabilidades que informó en su grupo integrado de aplicaciones diseñadas para automatizar las operaciones de CRM, ERP y SCM para las organizaciones.

Las dos vulnerabilidades, denominadas «BigDebIT«y con una puntuación CVSS de 9,9, fueron parcheados por Oracle en una actualización de parche crítica (CPU) lanzada a principios de enero. Pero la compañía dijo que aproximadamente el 50 por ciento de los clientes de Oracle EBS no han implementado los parches hasta la fecha.

Las fallas de seguridad podrían ser explotadas por malos actores para apuntar a herramientas de contabilidad como General Ledger en un intento por robar información confidencial y cometer fraude financiero.

Según los investigadores, «un pirata informático no autenticado podría realizar un exploit automatizado en el módulo de contabilidad general para extraer activos de una empresa (como efectivo) y modificar las tablas de contabilidad, sin dejar rastro».

Hackeo del software Oracle EBS

«La explotación exitosa de esta vulnerabilidad permitiría a un atacante robar datos financieros y causar retrasos en cualquier informe financiero relacionado con los procesos de cumplimiento de la empresa», agregó.

Vale la pena señalar que los vectores de ataque de BigDebIT se suman a las vulnerabilidades PAYDAY ya informadas en EBS descubiertas por Onapsis hace tres años, luego de lo cual Oracle lanzó una serie de parches hasta abril de 2019.

Apuntando al libro mayor para el fraude financiero

Rastreadas como CVE-2020-2586 y CVE-2020-2587, las nuevas fallas residen en su Sistema de gestión de recursos humanos (HRMS) de Oracle en un componente llamado Hierarchy Diagrammer que permite a los usuarios crear jerarquías de organización y posición asociadas con una empresa. Juntos, pueden explotarse incluso si los clientes de EBS han implementado parches lanzados en abril de 2019.

«La diferencia es que con estos parches, se confirma que incluso con los sistemas actualizados son vulnerables a estos ataques y, por lo tanto, deben priorizar la instalación de la CPU de enero», había declarado la compañía en una nota publicada en enero.

Una consecuencia de estos errores, si no se solucionan, es la posibilidad de fraude financiero y robo de información confidencial al atacar los sistemas contables de una empresa.

Oracle General Ledger es un software de procesamiento financiero automatizado que actúa como depósito de información contable y se ofrece como parte de E-Business Suite, el conjunto integrado de aplicaciones de la empresa, que abarca la planificación de recursos empresariales (ERP), la gestión de la cadena de suministro (SCM), y gestión de relaciones con los clientes (CRM), que los usuarios pueden implementar en sus propios negocios.

General Ledger también se utiliza para generar informes financieros corporativos y realizar auditorías para garantizar el cumplimiento de la Ley SOX de 2002.

Un atacante podría romper esta confianza explotando las fallas para modificar informes críticos en el libro mayor, incluida la manipulación fraudulenta de transacciones en los balances de una empresa.

«Por ejemplo, un atacante podría modificar el Informe de saldo de prueba, que resume los saldos contables en un período determinado, prácticamente sin darse cuenta, lo que resultaría en resultados informados incorrectamente que fluirían sin ser detectados en los estados financieros. Esto podría resultar en resultados financieros archivados o informados incorrectamente», Onapsis dijo.

La importancia de parchear el software crítico

Dado el riesgo financiero involucrado, se recomienda encarecidamente que las empresas que utilizan Oracle EBS realicen una evaluación inmediata para asegurarse de que no estén expuestas a estas vulnerabilidades y apliquen los parches para corregirlas.

«Las organizaciones deben ser conscientes de que las herramientas GRC actuales y otros métodos de seguridad tradicionales (cortafuegos, controles de acceso, SoD y otros) serían ineficaces para prevenir este tipo de ataque en sistemas Oracle EBS vulnerables», advirtieron los investigadores.

«Si las organizaciones tienen sistemas Oracle EBS con acceso a Internet, la probabilidad de una amenaza potencial se magnificaría significativamente. Las organizaciones atacadas no se darán cuenta del ataque y no sabrán el alcance del daño hasta que se encuentre evidencia mediante una auditoría interna o externa muy extensa. «

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática