Resumen Ejecutivo
■ Contexto: El día de hoy, 18 de enero de 2023, la multinacional estadounidense de tecnología informática con sede en Austin, Texas, Oracle, ha lanzado sus nuevas actualizaciones de seguridad para parchear un aproximado de 327 vulnerabilidades en diferentes proyectos que la empresa de Tecnología ofrece a sus clientes. Del número total de vulnerabilidades, más del 21,4% de las correcciones abordan vulnerabilidades de gravedad CRÍTICA.
■ Descripción:
El mayor número de parches disponibles para el mes de enero fue Oracle Communications, con 79 vulnerabilidades contadas. De estas, 63 vulnerabilidades son explotables remotamente sin autenticación y 19 tienen una calificación de «gravedad crítica«.
También se lanzaron parches para las aplicaciones de comunicaciones, siendo un total de 39 parches, incluidos 31 son explotables remotamente sin autenticación; Y para MySQL, 37 parches disponibles, donde 8 son para fallas no autenticadas y explotables remotamente.
Otro software empresarial de Oracle que recibió numerosos parches este mes incluye aplicaciones de servicios financieros, E-Business Suite, PeopleSoft, Servidor de base de datos, Cadena de suministro, Aplicaciones de servicios públicos, Construcción e ingeniería, Aplicaciones de alimentos y bebidas, Herramientas de soporte y Virtualización.
Para más información, haz click aquí.
■ Mitigación:
Debido a la amenaza que representa un ataque exitoso, Oracle recomienda encarecidamente que los clientes apliquen los parches de seguridad de Critical Patch Update lo antes posible. Hasta que aplique los parches de actualización de revisión crítica, es posible reducir el riesgo de un ataque exitoso bloqueando los protocolos de red requeridos por un ataque. Para los ataques que requieren ciertos privilegios o acceso a ciertos paquetes, eliminar los privilegios o la capacidad de acceder a los paquetes de los usuarios que no necesitan los privilegios puede ayudar a reducir el riesgo de un ataque exitoso.
Ambos enfoques pueden interrumpir la funcionalidad de la aplicación, por lo que Oracle recomienda encarecidamente que los clientes prueben los cambios en sistemas que no sean de producción. Ninguno de los dos enfoques debe considerarse una solución a largo plazo, ya que ninguno corrige el problema subyacente.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
