Especialistas de un curso de ciberseguridad reportan el hallazgo de al menos dos vulnerabilidades en E-Business Suite (EBS), un producto de Oracle para operaciones comerciales y seguridad de datos confidenciales empresariales. Las vulnerabilidades fueron reportadas por la firma de seguridad Onapsis y notificadas a Oracle en tiempo y forma.
Las dos vulnerabilidades reportadas, apodadas “BigDebIT“, recibieron un puntaje de 9.9/10 en la escala del Common Vulnerability Scoring System (CVSS) y fueron corregidas a inicios de 2020 a través del lanzamiento de un parche crítico. Cabe señalar que Oracle calcula que más del 50% de los usuarios del software afectado no han instalado la actualización aún.
Acorde a los especialistas de un curso de ciberseguridad, estas fallas podrían ser explotadas por actores de amenazas para comprometer las herramientas de contabilidad de Oracle con el propósito de extraer información confidencial y cometer fraude electrónico: “Un hacker no autenticado podría explotar estas vulnerabilidades para robar información confidencial en el módulo General Ledger, lo que pondría en riesgo los activos de las empresas afectadas”, mencionan los expertos.
Las fallas, identificadas como CVE-2020-2586 y CVE-2020-2587, residen en el Sistema de Gestión de Recursos Humanos (HRMS) de Oracle, específicamente en un componente llamado Hierarchy Diagrammer, que permite a los usuarios establecer organizaciones y jerarquías según la infraestructura de la empresa. Las fallas pueden ser explotadas en conjunto, incluso en los sistemas de Oracle que recibieron la actualización del año pasado: “Los sistemas actualizados en abril de 2019 también podrían ser objeto de explotación, por lo que es vital que los usuarios instalen los parches de emergencia, lanzados en enero de 2020”, menciona el reporte de Oracle.
Las consecuencias de la explotación podrían ser desastrosas, mencionan los expertos del curso de ciberseguridad, pues el General Ledger de Oracle es un software de procesamiento financiero automatizado que actúa como un depósito de información contable. Esta herramienta está contenida en E-Business Suite, el conjunto de aplicaciones para la planificación de recursos empresariales, gestión de cadena de suministro y gestión de relaciones comerciales.
General Ledger también se utiliza para generar informes financieros corporativos, así como para realizar auditorías para garantizar el cumplimiento de la Ley SOX. Los actores de amenazas podrían comprometer este proceso de confianza explotando las fallas para modificar informes críticos, incluyendo la manipulación fraudulenta de transacciones en balances financieros.
Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
