Oracle libera parches para corregir exploits de Struts y Shadow Brokers

20/04/2017

La actualización trimestral de parches de Oracle corrige un récord de 299 vulnerabilidades de seguridad

Oracle ha publicado un récord de 299 parches de seguridad para las vulnerabilidades en sus productos, incluidos los parches para una vulnerabilidad ampliamente explotada en el framweork de Apache Struts y Solaris, supuestamente utilizada por la Agencia de Seguridad Nacional de Estados Unidos.

La vulnerabilidad Struts permite la ejecución remota de código en los servidores web Java y fue parchada el 6 de marzo. Los atacantes la han adoptado rápidamente y la han utilizado en ataques desde entonces.

Oracle utiliza Apache Struts 2 en varios de sus productos, por lo que la actualización de parches críticos (CPU) corrije 25 instancias de la vulnerabilidad en Oracle Communications, aplicaciones comerciales y de servicios financieros, así como en el MySQL Enterprise Monitor, Oracle  WebCenter Sites, Oracle WebLogic Server y la aplicación Siebel E-Billing.

La compañía también corrige la vulnerabilidad detrás del exploit EXTREMEPARR para Solaris 10, el cual se filtró recientemente por un grupo llamado Shadow Brokers como parte de un volcado de datos de las supuestas herramientas cibernéticas de la NSA. Otro exploit de Solaris que era parte del mismo arsenal y se denominó EBBISLAND ha sido parchado desde 2012 en Solaris 10 Update 11, dijo Oracle.

El paquete de parches trimestrales de Oracle contiene correcciones para 40 vulnerabilidades que están clasificadas como críticas, 25 de las cuales tienen la puntuación de gravedad más alta (10) en el Common Vulnerability Scoring System (CVSS). En general, 162 de las 299 vulnerabilidades parchadas son explotables remotamente.

Las aplicaciones de Oracle para sectores especificaos de la industria (servicios financieros, minoristas, comunicaciones, servicios públicos, hospitalidad, ciencias de la salud y seguros) cuentan con casi el 40 por ciento de todos los parches de seguridad de este trimestre, de acuerdo con un análisis realizado por el proveedor de seguridad ERPScan.

Las aplicaciones críticas de negocio de Oracle como Oracle PeopleSoft, E-Business Suite, JD Edwards, Siebel CRM y la Primavera Products Suite recibieron 83 parches de seguridad.

"Hoy en día, los hackers han puesto sus ojos en las empresas más que en las personas, ya que entienden que esta opción es más rentable", dijo Alexander Polyakov, director de tecnología de ERPScan. "Teniendo en cuenta que los productos de Oracle están instalados en las empresas más grandes, estas aplicaciones pueden ser el objetivo final".

Por el lado de la base de datos, Oracle parchó 39 vulnerabilidades en MySQL y 3 en su base de datos del servidor Oracle. Java también recibió 8 parches de seguridad.

Probar e implementar los parches que componen esta actualización de Oracle, la más grande impuesta por la compañía, representará una gran cantidad de trabajo para los administradores de sistemas. El tamaño de las actualizaciones trimestrales de Oracle ha aumentado constantemente en los últimos años, planteando la cuestión de si sería mejor adoptar un modelo de actualizaciones mensuales en lugar de ciclos trimestrales.