Dos vulnerabilidades críticas de seguridad descubiertas en la suite de Oracle para empresas E-Business Suite permite el robo financiero, y podría conducir a un control total sobre todo el sistema Oracle EBS, incluidos otros posibles escenarios de explotación, como modificar o eliminar datos del sistema.
En lo que respecta al fraude financiero los ciberdelincuentes podrían:
- Manipular un archivo de transferencia electrónica de fondos (EFT) para redirigir los pagos de transferencias electrónicas sin dejar rastro.
- Crear e imprimir cheques falsificados y deshabilitar y borrar tablas de registro de auditoría para cubrir sus huellas.
Más allá del impacto del fraude financiero, estas vulnerabilidades representan un riesgo material de cumplimiento. Para las empresas sujetas a Sarbanes-Oxley (SOX) en los Estados Unidos y / u organizaciones sujetas al RGPD de la Unión Europea, estas vulnerabilidades deben abordarse de inmediato.
Aproximadamente 21,000 organizaciones globales que usan Oracle EBS para la gestión financiera, la gestión de la relación con el cliente (CRM), la gestión de la cadena de suministro (SCM), la gestión del capital humano (HCM), la logística y las adquisiciones pueden estar en riesgo ya que existen vulnerabilidades en todas las versiones de la Suite.
Actualmente entorno el 60% de las empresas no han realizado las actualizaciones necesarias para la subsanación de dichas vulnerabilidades por lo que estas organizaciones se encuentran expuestas a ataques que podrían comprometer sus datos y credibilidad.
Las vulnerabilidades iniciales fueron parcheadas en la actualización de abril de 2018 de Oracle y las vulnerabilidades posteriores se han parcheado en abril de 2019.
- CVE-2019-2638 (corregido en abril de 2019), CVSS v3 9.9
- CVE-2019-2633 (corregido en abril de 2019), CVSS v3 9.9
Por todo lo dicho con anterioridad es de vital importancia la actualización inmediata de Oracle E-Business Suite para corregir dichas vulnerabilidades.
Fuentes:
- https://www.onapsis.com/oracle-payday-vulnerabilities
- https://www.onapsis.com/IDC-survey-ERP-security-assessment
Fuente de la imagen: