334 vulnerabilidades encontradas en Oracle; parches ya disponibles
De forma periódica, los equipos de análisis de vulnerabilidades de las compañías tecnológicas lanzan actualizaciones para sus sistemas, lo que garantiza el correcto funcionamiento de un desarrollo, además de prevenir la explotación de nuevas fallas de seguridad.
Esta es una labor permanente,
pues los actores de amenazas no detienen su búsqueda de nuevos métodos de
ataque, por lo que en ocasiones las compañías deben lanzar decenas, incluso
cientos de actualizaciones para mantener sus sistemas seguros. Este es el caso
de Oracle,
que acaba de lanzar su primera Actualización
Crítica de Parches (CPU) del 2020, conformada por 334 parches de seguridad
destinados a corregir potenciales fallas en 94 productos diferentes.
Esta cifra iguala el récord de
correcciones lanzadas en un mismo paquete de actualizaciones, establecido en el
Oracle CPU de enero 2018. Entre los principales lanzamientos de CPU 2020 se
encuentran dos vulnerabilidades presentes en Oracle Human Resources que
recibieron un puntaje de 9.9/10 en la escala CVSS. Los equipos de análisis de
vulnerabilidades de Oracle destacan que se requiere autenticación para explotar
esta falla.
Otras 31 vulnerabilidades
presentes en diversos productos recibieron un puntaje de 9.8/10; entre las
implementaciones afectadas se encuentran:
- Oracle
WebLogic - Oracle
Communications Instant Messaging Server - Enterprise
Manager Ops Center - Oracle
Application Testing Suite - Hyperion Planning, entre otros
Durante las últimas semanas la
compañía recibió reportes de explotación de algunas de estas fallas en
escenarios reales, por lo que se recomienda a los administradores de sistemas
instalar este conjunto de parches de seguridad a la brevedad.
Además de los errores
mencionados, los expertos en análisis de vulnerabilidades reportaron al menos
una docena de vulnerabilidades en Oracle Database Server explotables de forma
remota y sin autenticación. En promedio, estos errores recibieron un puntaje de
7.7/10 según la escala CVSS.
Además, se corrigieron al menos 25 vulnerabilidades en Oracle Communications
Applications, incluyendo 20 fallas explotables de forma remota sin
autenticación. Otros productos potencialmente afectados incluyen Oracle Fusion
Middleware y la suite Oracle E-Business.
Acorde al Instituto Internacional
de Seguridad Cibernética (IICS), al menos 190 de los errores corregidos en este
Oracle CPU son explotables de forma remota y sin necesidad de autenticación en
el sistema objetivo. El lanzamiento del próximo Oracle CPU está previsto para
el próximo 14 de julio.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en programas de recompensas, protección de datos y la seguridad de datos. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.
