Onapsis revela la vulnerabilidad de Oracle E-Business Suite

Onapsis, el proveedor líder de protección de aplicaciones empresariales, ha revelado una nueva investigación de amenazas sobre una vulnerabilidad recientemente descubierta en Oracle E-Business Suite: Oracle PAYDAY.

Los escenarios de ataque explotan dos vulnerabilidades con puntuaciones CVSS de 9,9 sobre 10 en Oracle EBS, el software ERP de Oracle instalado en hasta 21.000 empresas. Onapsis descubrió y comunicó las vulnerabilidades a Oracle, que emitió parches a principios de este año. Onapsis estima que el 50% de los clientes de Oracle EBS no han desplegado los parches. El hecho de que Oracle se ejecute principalmente en Java, significa que el ataque sería relativamente sencillo de llevar a cabo por cualquier persona con conocimientos de Java y Oracle EBS.

La investigación sobre amenazas de Onapsis detalla dos escenarios de ataque:

  • Manipulación maliciosa del proceso de pago por transferencia bancaria a través de un acceso no autentificado (que eludiría la segregación de funciones y los controles de acceso), a través del cual un atacante puede cambiar las TEF aprobadas en el sistema EBS para redirigir los pagos de las facturas a la cuenta bancaria de un atacante, sin dejar rastro.
  • Crear e imprimir cheques bancarios aprobados a través del proceso de impresión de cheques de Oracle EBS y desactivar y borrar los registros de auditoría para encubrir la actividad.

La gravedad de esta vulnerabilidad es evidente por la importancia de los sistemas ERP como Oracle para la función empresarial global. De hecho, el 77% de los ingresos globales pasarán por un sistema ERP en algún momento, de los cuales los varios miles de clientes de EBS de Oracle son solo una proporción. En 2017, la propia Oracle llevó a cabo una simulación, Oracle seleccionó una estructura financiera realista derivada de una gran empresa típica basada en más de 25 años de experiencia en la implementación de ERP. Esta simulación encontró que era posible crear 1.000.000 de pagos por hora, a través de 7.000.000 de líneas de facturas importadas. Por lo tanto, los exploits de PayDay exitosos pueden pasar desapercibidos entre tantas transacciones.

Comentando este informe de amenazas. Mariano Núñez, director general y cofundador de Onapsis dijo:

«Esta investigación sobre las amenazas demuestra algo que históricamente no se ha comunicado en la seguridad informática y cibernética: Que las aplicaciones críticas para el negocio, específicamente los sistemas ERP, utilizados por las organizaciones más grandes y confiables del mundo son vulnerables a los atacantes que roban potencialmente miles de millones. El consejo que daríamos a todos los usuarios de Oracle EBS tras esta revelación sería que utilizaran herramientas y servicios de diagnóstico para ayudarles a poner de manifiesto las áreas más vulnerables de las operaciones empresariales, y a continuación desplegar los parches y controles compensatorios adecuados».

El informe sobre la amenaza está disponible aquíy el vídeo de demostración de cómo los usuarios pueden manipular el proceso se puede encontrar aquí.

Todas las empresas que utilizan Oracle deben asegurarse de que están ejecutando el último parche para garantizar una protección completa contra cualquier vulnerabilidad.