Oracle soluciona 252 vulnerabilidades en la actualización de parche crítico de octubre de 2017
Oracle lanzó su actualización de parches críticos (CPU por sus siglas en inglés, Critical Patch Update) para octubre de 2017, abordando 252 vulnerabilidades en gran cantidad de sus productos.
Comparado con la CPU de julio del 2017, este aborda menos problemas de seguridad, pero la cantidad de parches anuales de Oracle sigue aumentando:
Profundizando en la CPU de octubre de 2017
Esta CPU contiene 155 parches para vulnerabilidades que afectan a varias aplicaciones comerciales de Oracle: PeopleSoft, E-Business Suite, Fusion Middleware, aplicaciones de hostelería, Retail, Hyperion, Siebel CRM, Supply Chain, JD Edwards, etcétera. Según ERPScan, aproximadamente 71% de ellos se pueden explotar de forma remota sin necesidad de ingresar credenciales.
Esta actualización de parches también contiene una cantidad alarmante de correcciones de PeopleSoft y muchas de ellas son críticas, ya que pueden explotarse a través de la red sin ingresar credenciales de usuario.
Entre estas se encuentra una vulnerabilidad RCE altamente crítica (CVSS 9.8) en PeopleSoft, que puede permitir que un usuario malintencionado ejecute comandos en el servidor PeopleSoft de forma remota y obtenga acceso remoto completo a todos sus datos.
"Oracle PeopleSoft es un conjunto de aplicaciones de soluciones comerciales e industriales tales como PeopleSoft Human Capital Management, gestión financiera, gestión de relaciones con los proveedores, Enterprise Services Automation y Supply Chain Management. Como maneja una amplia gama de procesos comerciales y almacena datos clave, un ataque exitoso contra PeopleSoft permite a un atacante robar o manipular información crítica de negocios diferente, dependiendo de los módulos instalados en una organización ", explicó la compañía.
Esta información puede incluir datos tales como SSN, números de cuentas bancarias y otra información personal sujeta al cumplimiento de GDPR.
"Más de 1000 sistemas PeopleSoft están disponibles en Internet simplemente a través de un escaneo con Google o con Shodan, esto pone en riesgo a las organizaciones debido a las recientes vulnerabilidades. Según la última encuesta de los socios de Crowd Research, el 89% de los encuestados han acordado que el número de ataques cibernéticos sobre ERP crecerá significativamente en el futuro cercano y puede costar hasta $50 millones ", dice Alexander Polyakov, CTO de ERPScan.
Oracle Hospitality Applications recibió un total de 37 parches. De estas, tres vulnerabilidades críticas del complemento en Oracle Hospitality Reporting and Analytics (CVE-2017-10402, CVE-2017-10405, CVE-2017-10404), que podrían llevar a una adquisición completa de la aplicación y acceso a todos los datos. Los dos primeros son explotables a través de HTTP por un atacante no autenticado con acceso a la red.
La CPU de este trimestre también contiene soluciones para 22 vulnerabilidades Java SE, de las cuales más del 90% se pueden explotar de forma remota sin autenticación. La mayoría de ellas se pueden explotar fácilmente (es decir, su complejidad de ataque es baja) y el más grave de ellos tiene un puntaje base de CVSS de 9.6.
Implementando parches
"Oracle continúa recibiendo periódicamente informes de intentos de explotar maliciosamente vulnerabilidades para las cuales Oracle ya ha lanzado arreglos. En algunos casos, se informó que los atacantes tuvieron éxito porque los clientes seleccionados no aplicaron los parches de Oracle disponibles. Por lo tanto, Oracle recomienda encarecidamente que los clientes permanezcan en versiones con soporte activo y apliquen correcciones de Actualización de parches críticos sin demora ", señaló la compañía.
Apostolos Giannakidis, arquitecto de seguridad en la empresa de seguridad de aplicaciones Waratek, dice que desde la CPU Oracle de julio de 2017, el mundo ha sido sacudido por Equifax, KRACK y ROCA, dando una nueva urgencia para parchar rápidamente estas vulnerabilidades emergentes.
"Aunque las actualizaciones criticas sean pequeñas como las recientes, hay actualizaciones muy importantes incluidas en este parche crítico, como parches que corrigen los defectos de serialización. Y aunque siempre es importante prestar atención a los problemas de configuración, esta CPU no es compatible con versiones anteriores para clases criptográficas específicas. Si los equipos de seguridad no son conscientes, aplicar la CPU corre el riesgo de romper la aplicación”.
Idealmente, las organizaciones deberían aplicar la CPU en los entornos QA y UAT antes de implementarla en producción.
La próxima CPU de Oracle está programada para el 16 de enero de 2018.
Artículos relacionados: