Defectos de Oracle E-Business Suite amenazan las operaciones comerciales de sus usuarios

En un informe publicado por Onapsis se dieron a conocer los detalles técnicos de dos vulnerabilidades descubiertas en el E-Business Suite (EBS) de Oracle, grupo integrado de aplicaciones diseñadas para automatizar CRM, ERP y SCM operaciones para organizaciones.

Oracle parchó las dos vulnerabilidades, denominadas » BigDebIT » y las calificó con un puntaje CVSS de 9.9. La actualización clasificada como crítica fue lanzada a principios de enero. Aun así, la compañía dijo que aproximadamente el 50 por ciento de los clientes de Oracle EBS no han
implementado los parches hasta la fecha.

Rastreado como CVE-2020-2586 y CVE-2020-2587, los nuevos defectos correspondían al Sistema de Gestión de Recursos Humanos de Oracle (HRMS) específicamente al componente llamado Diagramador de Jerarquía que permite a los usuarios crear organizaciones y jerarquías de
posición asociadas con una empresa. Juntos, pueden explotarse incluso si los clientes de EBS han implementado parches lanzados en abril de 2019.

Posibilidad de fraude financiero y robo de información

Una consecuencia de estos errores, es que en el caso de producirse un ataque a los sistemas de contabilidad de alguna empresa, se podría obtener información confidencial y por ende exponerse algún tipo de fraude financiero.

Oracle General Ledger es un software de procesamiento financiero automatizado que actúa como un depósito de información contable y se ofrece como parte de E-Business Suite, conjunto integrado de aplicaciones de la compañía, que abarca la planificación de recursos empresariales
(ERP), la gestión de la cadena de suministro (SCM), y gestión de relaciones con los clientes (CRM): que usuarios pueden implementar en sus propios negocios.

General Ledger también se utiliza para generar informes financieros corporativos, así como para realizar una serie de auditorías. Por tanto, si se vulnera, se podría en el peor de los casos modificar informes críticos y manipular los balances contables de una empresa.