Más de 900 instancias de Oracle E-Business expuestas
Resumen rápido
Un número significativo de instancias de Oracle E-Business Suite han sido encontradas expuestas en línea, lo que las hace vulnerables a ataques que explotan una debilidad de seguridad crítica. Esto ha generado preocupación sobre la seguridad de los sistemas.
Más de 900 instancias de Oracle E-Business expuestas a ataques activos
Un rastreo del perímetro de Internet ha identificado más de 900 instancias de Oracle E-Business Suite (EBS) accesibles públicamente, muchas de ellas vulnerables a CVE-2026-46817 (CVSS 9.8), que ya está siendo explotada de forma activa. Es la superficie de ataque directa de la campaña que comenzó el fin de semana previo al 30 de junio de 2026.
El problema
EBS es un ERP que concentra datos financieros, de nóminas, proveedores y clientes. Exponerlo a Internet amplía drásticamente el riesgo, y el fallo activo permite ejecución remota de código sin autenticación en el módulo de Pagos (File Transmissions).
- CVE: CVE-2026-46817 (CVSS 9.8, RCE sin autenticar)
- Superficie: 900+ instancias EBS con paneles accesibles públicamente
- Tácticas: T1190 (explotación de aplicación pública), T1210 (servicios remotos)
- Contexto: en octubre de 2025, Cl0p explotó otra cadena de EBS afectando a 100+ organizaciones
La combinación de un exploit RCE público y cientos de sistemas expuestos convierte esto en un objetivo prioritario para operadores de ransomware y grupos de robo de datos.
Recomendaciones inmediatas
- Retira EBS del acceso público: colócalo tras VPN o red de gestión segregada.
- Aplica el CSPU de mayo de 2026 que corrige CVE-2026-46817.
- Audita tu perímetro: comprueba si tus instancias EBS aparecen indexadas (Shodan, Censys).
- Revisa logs de
/OA_HTML/y del servidor de aplicaciones en busca de explotación y webshells.
¿Estás cubierto en DefensOps?
DefensOps detecta tanto la exposición como la explotación de aplicaciones críticas:
- T1190 (Explotación de aplicación pública): reglas de detección de patrones de explotación web sin autenticar contra servidores de aplicaciones.
- T1210 (Explotación de servicios remotos): detección de movimiento lateral y post-explotación.
Disponible en el plan Advanced. El módulo de vulnerabilidades prioriza automáticamente los CVE presentes en CISA KEV, y el motor de correlación enlaza el intento de explotación con la actividad anómala del servidor comprometido.
👉 Consulta los planes de DefensOps y solicita una demo
Fuentes: BleepingComputer
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Advanced.
Técnicas MITRE ATT&CK: T1190, T1210
- Explotación de Oracle E-Business Suite expuesta a Internet · T1190 · plan Advanced
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.