Oracle E-Business Suite (EBS) è una suite completa di applicazioni aziendali globali e integrate che consente alle organizzazioni di prendere decisioni migliori, ridurre i costi e aumentare le prestazioni. Il componente Concurrent Processing costituisce il nucleo del sistema agendo come un gestore critico per job e report in background, rendendolo essenziale per le operazioni finanziarie, delle risorse umane e della catena di approvvigionamento dell’organizzazione.
Questa vulnerabilità rappresenta un rischio critico per qualsiasi organizzazione che utilizza le versioni interessate. Un attaccante non autenticato con accesso alla rete può ottenere una completa esecuzione di codice da remoto (RCE), senza necessità di interazione dell’utente o privilegi. L’impatto è una compromissione totale del server sottostante, con un punteggio CVSS di 9.8 (Critico).
Considerando i report pubblici sull’utilizzo di questa vulnerabilità in attacchi mirati contro grandi organizzazioni, inclusi i settori sanitario ed educativo, non si tratta di una minaccia teorica. Qualsiasi istanza Oracle E-Business Suite esposta a internet deve essere considerata un obiettivo ad alta priorità e a rischio immediato. La semplicità di sfruttamento unita al valore dei dati gestiti da EBS rende questo un obiettivo ideale per gruppi dediti al ransomware e all’estorsione di dati.
| Prodotto | Oracle E-Business Suite |
| Data | 2025-12-06 12:26:41 |
Riassunto tecnico
Una vulnerabilità critica di esecuzione di codice da remoto non autenticata è presente all’interno della funzionalità di integrazione BI Publisher del modulo Oracle Concurrent Processing. La causa principale è un errore di deserializzazione (CWE-502: Deserialization of Untrusted Data) nel modo in cui l’applicazione gestisce i flussi di dati XML inviati a uno specifico endpoint di servizio.
La catena tecnica dell’attacco è la seguente:
- Un attaccante crea un payload XML malevolo contenente un oggetto Java serializzato.
- L’attaccante invia questo payload tramite una richiesta HTTP POST a un endpoint BI Publisher esposto, che non richiede autenticazione.
- Il parser XML dell’applicazione riceve il flusso e, senza una valida verifica, lo passa a una funzione a valle che deserializza l’oggetto.
- Questo processo attiva una gadget chain all’interno del classpath dell’applicazione, portando all’esecuzione di comandi arbitrari con i privilegi dell’utente del server applicativo Oracle.
// Conceptual Example: Vulnerable Deserialization Logic
// The application directly deserializes an untrusted input stream from an HTTP request.
class BIPublisherRequestProcessor {
public void handleRequest(InputStream untrustedStream) {
// VULNERABLE: The ObjectInputStream reads and instantiates an object
// from the attacker-controlled stream, leading to code execution.
ObjectInputStream ois = new ObjectInputStream(untrustedStream);
Object maliciousObject = ois.readObject();
// ... further processing
}
}
Capacità dell’attaccante:
Un exploit riuscito garantisce all’attaccante il pieno controllo del server applicativo. Questo consente l’esecuzione arbitraria di comandi, l’esfiltrazione di tutti i dati aziendali critici (dati finanziari, PII, ecc.), la manipolazione dei processi aziendali e la possibilità di spostarsi lateralmente all’interno della rete aziendale.
Versioni interessate:
- Le versioni di Oracle E-Business Suite dalla 12.2.3 alla 12.2.14 sono vulnerabili.
Disponibilità della correzione:
- Oracle ha rilasciato patch come parte del suo aggiornamento critico (CPU). Si consiglia a tutti i clienti di procedere immediatamente all’aggiornamento.
Raccomandazioni
-
Applicare la patch immediatamente: Applicare l’Aggiornamento Critico Oracle (CPU) per Oracle E-Business Suite a tutte le istanze interessate senza ritardi. Questo è l’unico modo per mitigare completamente la vulnerabilità.
-
Mitigazioni:
- Se non è possibile applicare la patch immediatamente, limitare l’accesso di rete al tier applicativo di Oracle E-Business Suite da tutte le fonti non affidabili. In particolare, bloccare l’accesso esterno alla directory
/OA_HTML/se non è necessaria per le operazioni aziendali. - Implementare un Web Application Firewall (WAF) con regole progettate specificamente per ispezionare e bloccare pattern di attacchi di deserializzazione Java nei messaggi HTTP POST.
- Se non è possibile applicare la patch immediatamente, limitare l’accesso di rete al tier applicativo di Oracle E-Business Suite da tutte le fonti non affidabili. In particolare, bloccare l’accesso esterno alla directory
-
Caccia e monitoraggio:
- Controllare i log di accesso del web server per richieste HTTP POST verso endpoint relativi a BI Publisher da indirizzi IP esterni o inaspettati.
- Monitorare il server applicativo Oracle per processi figli anomali avviati dal processo Java principale (es.
sh,bash,cmd.exe,powershell.exe). - Analizzare il traffico di rete in uscita dai server applicativi EBS alla ricerca di connessioni verso destinazioni sconosciute o sospette, che potrebbero indicare comunicazioni C2 o esfiltrazione di dati.
-
Risposta agli incidenti:
- Se si sospetta una compromissione, isolare immediatamente il/i server interessati dalla rete per prevenire movimenti laterali.
- Conservare tutti i log rilevanti (log di accesso, log applicativi, log a livello di sistema operativo) e creare un’immagine forense del disco per l’analisi.
- Esaminare tutti gli account utente dell’applicazione e del database per verificare attività non autorizzate o escalation di privilegi.
-
Difesa in profondità:
- Assicurarsi che l’applicazione EBS sia eseguita utilizzando un account di servizio con privilegi minimi.
- Implementare una segmentazione di rete robusta per controllare il traffico tra il tier applicativo, il tier database e il resto della rete aziendale.
- Verificare che i dati critici vengano regolarmente sottoposti a backup e che tali backup siano conservati in modo sicuro offline.