La mitad de las empresas probablemente ejecutan un oráculo vulnerable …


Dos vulnerabilidades de seguridad podrían abrir a las empresas a ataques financieros y violaciones de cumplimiento si el computer software no se actualiza, dice Onapsis.

Las empresas necesitan parchear un par de vulnerabilidades de seguridad en E-Business enterprise Suite (EBS) de Oracle. De lo contrario, corren el riesgo de un posible fraude financiero y de no cumplir con las regulaciones financieras, como Sarbanes-Oxley, según la firma de seguridad de aplicaciones Onapsis.

Los dos defectos, CVE-2020-2586 y CVE-2020-2587, podrían permitir que un atacante realice cambios en la aplicación del libro mayor incluido en Oracle EBS, robe o modifique información comercial confidencial, o elimine información como parte de una campaña de rescate, según un aviso publicado por Onapsis. Las vulnerabilidades abren las aplicaciones de EBS y sus diversos módulos a una explotación remota no autenticada, omitiendo los controles para permitir la modificación de datos financieros, afirma Onapsis en su aviso.

El componente vulnerable se instala de manera predeterminada en cada instancia de Oracle EBS. Aunque no se puede deshabilitar, se puede parchear aplicando la actualización de parche crítico (CPU) de enero de 2020, según Juan Pérez-Etchegoyen, director de tecnología de Onapsis. Sin embargo, solo alrededor de la mitad de las empresas probablemente han aplicado la actualización crítica, ya que la empresa promedio generalmente toma uno o dos trimestres para actualizar sus sistemas, dice.

«Es primordial que las compañías verifiquen que estén actualizadas con los últimos parches», dice Pérez-Etchegoyen. «Es aún más importante si tienen sistemas orientados a Internet como una forma de permitir el acceso a su fuerza de trabajo remota. Estas aplicaciones y los parches tienen mucha complejidad en cómo implementarlos, por lo que es importante verificar que el parche se aplique correctamente. «.

El aviso de vulnerabilidad subraya que las fallas de software en aplicaciones comerciales críticas, como el software package de planificación de recursos empresariales (ERP), deben tener prioridad durante los ciclos de actualización. Las empresas a menudo retrasan los parches a los sistemas críticos porque cualquier interrupción en el servicio puede tener un impacto significativo. Por lo standard, aproximadamente la mitad de las empresas toman dos o más trimestres para aplicar una actualización crítica de parches, dice Pérez-Etchegoyen.

«Por lo typical, depende de la madurez de seguridad de la empresa», dice.

Los servidores Oracle E-Organization son una solución ERP well-known, que permite a las empresas rastrear sus organizaciones y el uso de la infraestructura para mejorar la toma de decisiones y reducir los costos. La aplicación generalmente admite todo el proceso comercial, desde la gestión de la cadena de suministro hasta la gestión financiera, dice Pérez-Etchegoyen.

El software package se ha vuelto aún más importante después del cambio al trabajo remoto, ya que las empresas confían en los sistemas para ayudarles a administrar sus operaciones ahora distribuidas. Sin embargo, la tendencia de trabajar desde casa ha dado como resultado que muchas más instancias de Oracle E-Business enterprise Server sean accesibles desde Web, aparentemente para permitir a los trabajadores remotos en recursos humanos, ingeniería y administración la capacidad de acceder al servidor. En los últimos seis meses, Onapsis ha encontrado un 30% más de instancias de EBS accesibles desde Web, dice Pérez-Etchegoyen.

«Cuando una empresa expone un sistema a Internet, por lo normal no toman todas las precauciones que deberían para mantenerlo seguro porque necesitan asegurarse de que sus equipos tengan acceso a los servicios. Pero eso también significa que esos sistemas son vulnerables a en cualquier parte del planeta «, dice. «Por lo tanto, es importante involucrar a la seguridad de TI en estas decisiones».

En noviembre, Onapsis reveló inicialmente un par de fallas que podrían permitir un ataque very similar. Apodado las vulnerabilidades del día de pago, los dos problemas podrían haber permitido a un atacante ejecutar código en el servidor y realizar fraudes financieros con la contabilidad de la compañía.

Del mismo modo, con las últimas vulnerabilidades, que Onapsis denominó «BigDebIT», un atacante podría obtener acceso a cualquier funcionalidad de la aplicación, incluida la parte financiera del servicio ERP, que permite ataques financieros.

«Un atacante puede ejecutar y encubrir transacciones y luego interceptar la información proveniente del banco», dijo Onapsis estados en el informe. «No habría conciliación de la transacción y la auditoría probablemente también la extrañaría».

La compañía también plantea el espectro de que las compañías que no apliquen parches podrían abrirse al incumplimiento de las regulaciones financieras.

«Cualquier cliente de Oracle EBS que no haya aplicado la Actualización de parche crítico (CPU) desde enero de 2020 y esté regulado por Sarbanes-Oxley (SOX) puede encontrar deficiencias en el Management interno sobre los informes financieros (ICFR)», indica el informe.

En una declaración enviada a Darkish Looking through, Oracle señaló que las vulnerabilidades fueron parcheadas en enero.

«Oracle alienta a los clientes a seguir las recomendaciones de configuración segura en sus guías de implementación, permanecer en versiones con soporte activo y aplicar actualizaciones de parches críticos sin demora», dijo la compañía. «En el momento de la publicación de este informe, la actualización de parche crítico más reciente period la actualización de parche crítico de abril de 2020».

Pérez-Etchegoyen de Onapsis dice que no hay indicios de que se haya lanzado una hazaña pública por los defectos hasta la fecha.

contenido relacionado

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dim Looking through, MIT&#39s Technology Evaluation, Popular Science y Wired Information. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más concepts





Enlace a la noticia first