Oracle PAYDAY: vulnerabilidades críticas en Oracle E-Business Suite

Onapsis ha revelado una nueva investigación de amenazas sobre una vulnerabilidad recientemente descubierta en Oracle E-Business Suite: Oracle PAYDAY.

Los escenarios de ataque explotan dos vulnerabilidades con puntajes CVSS de 9.9 sobre 10 en Oracle EBS, el software ERP de Oracle instalado en hasta 21.000 compañías. Onapsis descubrió e informó las vulnerabilidades a Oracle, que emitió parches a principios de este año. Onapsis estima que el 50% de los clientes de Oracle EBS no han implementado los parches. El hecho de que Oracle se ejecute principalmente en Java significa que el ataque sería relativamente sencillo de llevar a cabo por cualquier persona con conocimiento de Java y Oracle EBS.

La investigación de amenazas de Onapsis detalla dos escenarios de ataque:

• Manipulación maliciosa del proceso de pago mediante transferencia bancaria a través de acceso no autenticado (que evitaría la segregación de deberes y controles de acceso), aunque un atacante puede cambiar las EFT aprobadas en el sistema EBS para redirigir los pagos de facturas a la cuenta bancaria de un atacante, sin dejar rastro (CVE-2019-2638).
• Crear e imprimir cheques bancarios aprobados a través del proceso de impresión de cheques de Oracle EBS y deshabilitar y borrar registros de auditoría para encubrir la actividad (CVE-2019-2633).

La gravedad de esta vulnerabilidad es evidente por la importancia de los sistemas ERP como Oracle para la función comercial global. De hecho, el 77% de los ingresos globales pasarán por un sistema ERP en algún momento, de los cuales los varios miles de clientes de EBS de Oracle son solo una proporción.
En 2017, Oracle realizó una simulación: seleccionó una estructura financiera realista derivada de una gran empresa típica basada en la experiencia de más de 25 años con implementaciones de ERP. Esta simulación descubrió que era posible crear 1.000.000 de pagos por hora, a través de 7.000.000 líneas de factura importadas. Por lo tanto, las explotaciones exitosas de PayDay pueden pasar desapercibidas entre tantas transacciones.

El informe de amenazas está disponible aquí, y el video muestra cómo los usuarios pueden manipular el proceso.

Todas las compañías que usan Oracle deben asegurarse de que estén ejecutando el último parche para garantizar una protección completa contra cualquier vulnerabilidad.

Fuente: Onapsis