Explotación Activa de Vulnerabilidad Crítica en Oracle E-Business Suite (CVE-2026-46817)

Ataque a la cadena de suministro de Oracle Cloud: Seis millones de registros robados

Se ha emitido una alerta crítica tras confirmarse la explotación activa en curso de una vulnerabilidad de máxima severidad en Oracle E-Business Suite (EBS). Registrada como CVE-2026-46817, este fallo permite a atacantes no autenticados tomar el control remoto del componente de Transmisiones de Archivos en el producto Oracle Payments. Detectado inicialmente por firmas de inteligencia de amenazas en redes honeypot a finales de junio de 2026, el ataque ocurre sin necesidad de credenciales ni interacción del usuario, poniendo en riesgo crítico la confidencialidad y operatividad de sistemas ERP y financieros expuestos a Internet.


Veredicto Analítico
  • Estado: Confirmado. Oracle publicó el parche en su Actualización Crítica de Parches (CSPU) de mayo de 2026; la explotación masiva fue detectada a finales de junio de 2026.
  • Confianza: Absoluta. Validado por avisos de seguridad de Oracle y firmas de inteligencia como Defused y Shadowserver.
  • Riesgo para SOC, TDIR y CloudOps: Crítico (CVSS 9.8). Un atacante puede comprometer la confidencialidad, integridad y disponibilidad del sistema transaccional por completo.
  • Urgencia Operativa: Inmediata. Especialmente para organizaciones que mantienen instancias de Oracle EBS (versiones 12.2.3 a 12.2.15) accesibles desde el exterior sin controles de compensación.
  • Base del Veredicto: Explotación de lectura arbitraria de archivos o salto de directorios (Path Traversal) a través de peticiones HTTP POST no autenticadas dirigidas a la interfaz web de Oracle Payments.

Hallazgos Clave

Vulnerabilidad Principal (CVE-2026-46817 | Severidad: Crítica | CVSS: 9.8) El problema reside en una falla de validación dentro del componente File Transmissions de Oracle Payments. Permite a un ciberdelincuente aprovechar el protocolo HTTP para inyectar cargas útiles que comprometen el sistema base, logrando evadir los esquemas de autenticación de la aplicación.

Armamento Privado sin PoC Público A diferencia de otras campañas, actualmente no existe un exploit de prueba de concepto (PoC) público para este fallo. Sin embargo, la detección de actividad maliciosa coordinada indica que los actores de amenazas ya han desarrollado herramientas de explotación privadas y están escaneando la web de manera automatizada en busca de objetivos vulnerables.


Análisis Técnico

El vector de ataque observado en la naturaleza (In-the-Wild) por equipos de Threat Intelligence sigue un patrón estructurado a nivel de red:

  • El atacante identifica una instancia de Oracle EBS expuesta y envía una serie de peticiones HTTP POST dirigidas al endpoint vulnerable /OA_HTML/ibytransmit.
  • La solicitud HTTP inyecta una carga útil en formato XML, diseñada específicamente para abusar del esquema de transmisión interno conocido como CODEX_PULL.
  • Al procesar el XML malformado, la aplicación permite una vulnerabilidad de Path Traversal (Salto de Directorio) o lectura de archivos locales (LFI).
  • Los registros (logs) revelan que los atacantes intentan extraer el archivo /etc/passwd del sistema operativo host para enumerar usuarios locales y, posteriormente, escalar privilegios o ejecutar código remoto.

Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
  • Acceso Inicial: Explotación de Aplicaciones Expuestas al Público (Exploit Public-Facing Application – T1190).
  • Ejecución: Explotación de Vulnerabilidad Remota de Software (Exploitation of Remote Services – T1210).
  • Robo de Credenciales y Descubrimiento: Recuperación de Archivos del Sistema Operativo (OS Credential Dumping: /etc/passwd – T1003.008 / File and Directory Discovery – T1083).

Recomendaciones Operativas

Para Administración de Servidores y CloudOps (Acción Inmediata)

  • Aplicación Prioritaria de Parches: Implementar de inmediato la actualización de seguridad correspondiente al Critical Patch Update (CSPU) de mayo de 2026 de Oracle para las versiones de EBS afectadas (12.2.3 hasta 12.2.15).
  • Reducción de la Superficie de Ataque: Identificar instancias de EBS que sigan siendo accesibles desde Internet mediante escaneos externos. Restringir el acceso alojando la plataforma detrás de una VPN corporativa o implementando arquitecturas de Zero Trust Network Access (ZTNA).

Para el Centro de Operaciones de Seguridad (SOC)

  • Inspección de Tráfico Web (WAF/IDS): Crear y desplegar reglas específicas en el Web Application Firewall para alertar y bloquear peticiones HTTP POST dirigidas a la URI /OA_HTML/ibytransmit. Se debe prestar atención crítica a las cargas XML que contengan la cadena CODEX_PULL o secuencias de salto de directorio (../).
  • Cacería de Amenazas (Threat Hunting) en Hosts: Auditar los servidores que alojan la aplicación EBS en busca de creación de procesos secundarios inesperados originados desde el servicio Java de EBS, así como archivos anómalos o shells inversas que indiquen un compromiso exitoso posterior al intento de LFI.

Related Post