Oracle lanzó su actualización de parches críticos (CPU, por sus siglas en inglés) de octubre de 2017, solucionando 252 vulnerabilidades en su amplia gama de productos.

Comparado con la CPU de julio de 2017, esta corrige menos problemas de seguridad, pero la cantidad de parches anuales de Oracle continua en aumento.

Profundizando en la CPU de octubre de 2017

Esta CPU contiene 155 parches para vulnerabilidades que afectan a varias aplicaciones empresariales de Oracle: PeopleSoft, E-Business Suite, Fusion Middleware, Hospitality Applications, Retail, Hyperion, Siebel CRM, Supply Chain, JD Edwards, etcétera. Según ERPScan, aproximadamente 71% de ellas pueden explotarse remotamente sin ingresar credenciales.

Esta actualización de parches también contiene una cantidad alarmante de correcciones en PeopleSoft, y muchas de ellas son críticas, ya que pueden explotarse desde Internet sin ingresar credenciales de usuario.

Entre ellas se encuentra una vulnerabilidad para la ejecución de código remoto (RCE, por sus siglas en inglés) altamente crítica (CVSS 9.8) en PeopleSoft, que permite a un usuario malintencionado ejecutar comandos en el servidor PeopleSoft de forma remota y obtener acceso total a todos sus datos.

"Oracle PeopleSoft es un conjunto de aplicaciones de soluciones empresariales e industriales tales como PeopleSoft Human Capital Management, Financial Management, Supplier Relationship Management, Enterprise Services Automation, y Supply Chain Management. Dado que gestiona una amplia gama de procesos comerciales y almacena información importante, un ataque exitoso contra PeopleSoft permite a un atacante robar o manipular distintos tipos de información crítica del negocio, de acuerdo con los módulos instalados en una organización", explicó la compañía.

Esta información puede incluir datos tales como números de seguridad social (SSN, por sus siglas en inglés), números de cuenta bancaria y otra información personal sujeta al cumplimiento de la regulación general para la protección de datos (GDPR, por sus siglas en inglés).

"Más de 1000 sistemas PeopleSoft están disponibles en Internet simplemente realizando búsquedas con Google o con Shodan, lo que pone a las organizaciones en riesgo debido a las vulnerabilidades recientes. Según la última encuesta de los socios de Crowd Research, el 89% de los encuestados han coincidido en que el número de ciberataques a ERP crecerá significativamente en el futuro cercano y podría costar hasta $50 millones", dice Alexander Polyakov, CTO de ERPScan.

Oracle Hospitality Applications recibió un total de 37 parches. De estos, tres se relacionan con vulnerabilidades críticas en Oracle Hospitality Reporting and Analytics (CVE-2017-10402, CVE-2017-10405, CVE-2017-10404), lo que podría desencadenar una toma completa del control de la aplicación y el acceso a todos los datos. Los dos primeros de estos son explotables a través de HTTP por un atacante no autenticado con acceso a la red.

La CPU de este trimestre también contiene correcciones para 22 vulnerabilidades de Java SE, más del 90% de las cuales pueden explotarse de forma remota sin autenticación. La mayoría de ellos pueden ser fácilmente explotados (es decir, su complejidad de ataque es baja), y el más grave de todos tiene un puntaje básico de CVSS de 9.6.

Implementar parches

"Oracle continúa recibiendo periódicamente informes de intentos de explotación de vulnerabilidades para las que Oracle ya ha proporcionado correcciones. En algunos casos, se ha informado que los atacantes han tenido éxito porque los clientes afectados han fallado en aplicar los parches de Oracle disponibles. Por lo tanto, Oracle recomienda firmemente que los clientes utilicen versiones con soporte activo y apliquen correcciones de actualizaciones críticas sin demora ", señaló la compañía.

Apostolos Giannakidis, arquitecto de seguridad en el equipo de seguridad de aplicaciones Waratek, dice que desde la CPU de Oracle de julio de 2017, el mundo ha sido sacudido por Equifax, KRACK y ROCA, impulsando una nueva urgencia por aplicar rápidamente parches para las vulnerabilidades recientes.

"Aunque son más pequeñas que las CPU previas, hay actualizaciones muy importantes incluidas en este parche crítico, como los parches que solucionan fallas de serialización. Y, aunque siempre es importante prestar atención a los problemas de configuración, esta CPU no es compatible con versiones anteriores para clases criptográficas específicas. Si los equipos de seguridad no son conscientes, se corre el riesgo de que la aplicación de la CPU afecte la operación de la aplicación ".

Idealmente, las organizaciones deberían aplicar la CPU en entornos QA y UAT antes de hacerlo en producción.

La próxima CPU de Oracle está programada para el 16 de enero de 2018.