De forma periódica, los equipos de análisis de vulnerabilidades de las compañías tecnológicas lanzan actualizaciones para sus sistemas, lo que garantiza el correcto funcionamiento de un desarrollo, además de prevenir la explotación de nuevas fallas de seguridad.
Esta es una labor permanente, pues los actores de amenazas no detienen su búsqueda de nuevos métodos de ataque, por lo que en ocasiones las compañías deben lanzar decenas, incluso cientos de actualizaciones para mantener sus sistemas seguros. Este es el caso de Oracle, que acaba de lanzar su primera Actualización Crítica de Parches (CPU) del 2020, conformada por 334 parches de seguridad destinados a corregir potenciales fallas en 94 productos diferentes.
Esta cifra iguala el récord de correcciones lanzadas en un mismo paquete de actualizaciones, establecido en el Oracle CPU de enero 2018. Entre los principales lanzamientos de CPU 2020 se encuentran dos vulnerabilidades presentes en Oracle Human Resources que recibieron un puntaje de 9.9/10 en la escala CVSS. Los equipos de análisis de vulnerabilidades de Oracle destacan que se requiere autenticación para explotar esta falla.
Otras 31 vulnerabilidades presentes en diversos productos recibieron un puntaje de 9.8/10; entre las implementaciones afectadas se encuentran:
- Oracle WebLogic
- Oracle Communications Instant Messaging Server
- Enterprise Manager Ops Center
- Oracle Application Testing Suite
- Hyperion Planning, entre otros
Durante las últimas semanas la compañía recibió reportes de explotación de algunas de estas fallas en escenarios reales, por lo que se recomienda a los administradores de sistemas instalar este conjunto de parches de seguridad a la brevedad.
Además de los errores mencionados, los expertos en análisis de vulnerabilidades reportaron al menos una docena de vulnerabilidades en Oracle Database Server explotables de forma remota y sin autenticación. En promedio, estos errores recibieron un puntaje de 7.7/10 según la escala CVSS. Además, se corrigieron al menos 25 vulnerabilidades en Oracle Communications Applications, incluyendo 20 fallas explotables de forma remota sin autenticación. Otros productos potencialmente afectados incluyen Oracle Fusion Middleware y la suite Oracle E-Business.
Acorde al Instituto Internacional de Seguridad Cibernética (IICS), al menos 190 de los errores corregidos en este Oracle CPU son explotables de forma remota y sin necesidad de autenticación en el sistema objetivo. El lanzamiento del próximo Oracle CPU está previsto para el próximo 14 de julio.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
