Más de 900 instancias de Oracle E-Business expuestas a ataques activos

Un rastreo del perímetro de Internet ha identificado más de 900 instancias de Oracle E-Business Suite (EBS) accesibles públicamente, muchas de ellas vulnerables a CVE-2026-46817 (CVSS 9.8), que ya está siendo explotada de forma activa. Es la superficie de ataque directa de la campaña que comenzó el fin de semana previo al 30 de junio de 2026.

El problema

EBS es un ERP que concentra datos financieros, de nóminas, proveedores y clientes. Exponerlo a Internet amplía drásticamente el riesgo, y el fallo activo permite ejecución remota de código sin autenticación en el módulo de Pagos (File Transmissions).

  • CVE: CVE-2026-46817 (CVSS 9.8, RCE sin autenticar)
  • Superficie: 900+ instancias EBS con paneles accesibles públicamente
  • Tácticas: T1190 (explotación de aplicación pública), T1210 (servicios remotos)
  • Contexto: en octubre de 2025, Cl0p explotó otra cadena de EBS afectando a 100+ organizaciones

La combinación de un exploit RCE público y cientos de sistemas expuestos convierte esto en un objetivo prioritario para operadores de ransomware y grupos de robo de datos.

Recomendaciones inmediatas

  • Retira EBS del acceso público: colócalo tras VPN o red de gestión segregada.
  • Aplica el CSPU de mayo de 2026 que corrige CVE-2026-46817.
  • Audita tu perímetro: comprueba si tus instancias EBS aparecen indexadas (Shodan, Censys).
  • Revisa logs de /OA_HTML/ y del servidor de aplicaciones en busca de explotación y webshells.

¿Estás cubierto en DefensOps?

DefensOps detecta tanto la exposición como la explotación de aplicaciones críticas:

  • T1190 (Explotación de aplicación pública): reglas de detección de patrones de explotación web sin autenticar contra servidores de aplicaciones.
  • T1210 (Explotación de servicios remotos): detección de movimiento lateral y post-explotación.

Disponible en el plan Advanced. El módulo de vulnerabilidades prioriza automáticamente los CVE presentes en CISA KEV, y el motor de correlación enlaza el intento de explotación con la actividad anómala del servidor comprometido.

👉 Consulta los planes de DefensOps y solicita una demo


Fuentes: BleepingComputer