Actores maliciosos están explotando activamente la vulnerabilidad
CVE-2026-46817, una vulnerabilidad crítica de acceso remoto sin autenticación en Oracle
E-Business Suite (EBS). Se detectó actividad de ataque en tiempo real en
infraestructura honeypot durante el fin de semana del 27 y 28 de junio de
2026.
CVE-2026-46817 es una vulnerabilidad de gravedad crítica que reside en el
producto Oracle Payments dentro de Oracle E-Business Suite, específicamente en
el componente de transmisión de archivos. La vulnerabilidad tiene una
puntuación base CVSS de 9.8 y
permite que un atacante no autenticado con acceso a la red a través de HTTP
comprometa completamente Oracle Payments,
lo que conlleva el control total de la confidencialidad, la integridad y la
disponibilidad.
Esta vulnerabilidad de seguridad se descubrió en el componente de transmisión de archivos del producto Oracle Payments de EBS y permite que agentes maliciosos no autenticados con acceso a la red HTTP se apoderen de sistemas vulnerables mediante ataques de baja complejidad.
Las versiones afectadas abarcan desde Oracle E-Business Suite 12.2.3 hasta
12.2.15. El vector CVSS refleja la baja complejidad del ataque y la ausencia
de requisitos de autenticación, lo que facilita su explotación a gran escala.
Aunque no existe código de prueba de concepto (PoC) público, esta es la
primera explotación real conocida de esta vulnerabilidad, lo que indica que el
atacante podría estar utilizando capacidades de explotación desarrolladas de
forma privada.
El tráfico de ataque capturado en los honeypots de
Defused reveló
solicitudes POST dirigidas a /OA_HTML/ibytransmit, el punto final de
transmisión de archivos de Oracle iPayment.
La IP del atacante, 45.84.137[.]125, operando a través de AS136787 PacketHub
S.A. (Francia), se dirigió al puerto 443 y envió una carga útil XML
DeliveryRequest manipulada.
La carga útil contenía un esquema de transmisión CODEX_PULL, con el
parámetro FULL_FILE_PATH configurado en /etc/passwd, un
indicador clásico de una cadena de explotación de lectura de archivos
locales/recorrido de rutas diseñada para extraer archivos confidenciales del
sistema.
Según Shadowserver, el 28 de junio se registraron un total de 456 ataques en todas las regiones
monitorizadas, con Norteamérica (193) y Asia (181) concentrando la mayor parte
del tráfico. Europa registró 53 ataques, Sudamérica 18, África 9 y Oceanía 2.
Oracle abordó la vulnerabilidad
CVE-2026-46817 en su Actualización Crítica de Parches de Seguridad
(CSPU), publicada el 28 de mayo de 2026. Esta actualización corrigió 35
vulnerabilidades CVE distintas en diversas familias de productos de Oracle, 11
de las cuales se clasificaron como críticas.
Oracle recomendó encarecidamente a todos sus clientes que aplicaran los
parches inmediatamente después de su publicación.
Posteriormente, el 16 de junio de 2026, se publicó una CSPU complementaria que
reforzó la postura de Oracle respecto a las vulnerabilidades.
Las organizaciones que utilizan Oracle E-Business Suite deben actuar de
inmediato:
-
Aplicar sin demora el parche CSPU de mayo de 2026 para las versiones 12.2.3
a 12.2.15 de EBS. -
Bloquee o restrinja el acceso público a internet a las interfaces de Oracle
EBS, en particular a la ruta /OA_HTML/. -
Auditar los registros del servidor web en busca de solicitudes POST a
/OA_HTML/ibytransmit con cargas útiles XML inusuales. -
Investigar la IP del atacante (45.84.137[.]125) y la cadena User-Agent
(ibytransmit-lab-poc/1.0) en los registros del firewall y del proxy. -
Realizar una evaluación de la vulnerabilidad si la aplicación del parche se
retrasó más allá del 28 de mayo de 2026.
Dada la ausencia de código PoC público y la aparición confirmada de
herramientas de explotación privadas, las implementaciones de Oracle EBS sin
parchear siguen expuestas a un grave riesgo de sufrir una vulneración total
del sistema.
Fuente:
CyberSecurityNews