Especialistas de un curso de hacking reportan el hallazgo de tres vulnerabilidades en JD Edwards EnterpriseOne, una suite de software para la planificación de recursos empresariales desarrollada por Oracle. Acorde al reporte, la explotación de estas vulnerabilidades podría conducir a escenarios maliciosos, como la ejecución de código arbitrario, entre otros.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivos puntajes y claves de identificación según el Common Vulnerability Scoring System (CVSS).
CVE-2020-9546: Una validación de entrada incorrecta al procesar los datos serializados en EnterpriseOne Orchestrator permitiría a los actores de amenazas la ejecución de código arbitrario en el sistema objetivo. Los hackers remotos podrían pasar datos especialmente diseñados a la aplicación vulnerable para completar el ataque, lo que podría resultar en el compromiso total del sistema.
Esta es una falla crítica, por lo que recibió un puntaje CVSS de 8.5/10.
CVE-2020-9488: El apéndice SMTP de Apache Log4j no valida los certificados SSL correctamente, lo que permitiría el despliegue de ataques Man-in-The-Middle (MiTM) en EnterpriseOne Tools. Esta es una falla de baja severidad, por lo que recibió un puntaje de 3.7/10, según los especialistas de un curso de hacking.
CVE-2020-9546: Una validación de entrada insegura al procesar datos serializados entre dispositivos de serialización y mecanografía podría permitir la ejecución de código arbitrario en el sistema objetivo. Los actores de amenazas remotos pueden explotar la falla enviando datos especialmente diseñados a EnterpriseOne Tools.
La explotación exitosa de la falla podría conducir al compromiso total del sistema afectado. Esta vulnerabilidad recibió un puntaje de 8.5/10, por lo que se considera de gravedad alta.
Si bien las fallas pueden ser explotadas por actores de amenazas remotos, los investigadores aún no han detectado intentos de explotación en escenarios reales, o bien la existencia de alguna variante de malware relacionado con el ataque.
La lista completa de versiones afectadas se encuentra en las plataformas oficiales de Oracle, mencionan los especialistas de un curso de hacking. La compañía reconoció las fallas poco después de recibir el reporte, por lo que comenzaron a trabajar en las correcciones de inmediato.
Las actualizaciones ya están disponibles, por lo que los usuarios de implementaciones afectadas sólo deben verificar su correcta instalación. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
