**Brecha en GlobalLogic expone datos de más de 10.000 empleados por vulnerabilidad en Oracle EBS**
—
### 1. Introducción
GlobalLogic, empresa líder en servicios de ingeniería digital y subsidiaria del grupo Hitachi, ha confirmado una grave brecha de seguridad que ha comprometido la información personal de más de 10.000 empleados actuales y antiguos. El incidente, que afecta a su plataforma Oracle E-Business Suite (EBS), pone en el punto de mira la seguridad de los grandes sistemas ERP y la creciente sofisticación de los ataques dirigidos a infraestructuras empresariales críticas.
—
### 2. Contexto del Incidente
El ataque se produjo tras la explotación de una vulnerabilidad crítica en Oracle E-Business Suite, una solución ERP ampliamente utilizada para la gestión de finanzas, recursos humanos y cadena de suministro. El incidente fue detectado tras actividades anómalas en los sistemas de GlobalLogic, lo que llevó a la investigación forense y, posteriormente, a la notificación a los afectados. Según fuentes internas, el incidente habría comenzado a finales de mayo de 2024, cuando actores no autorizados lograron acceso a bases de datos con información sensible de empleados.
La brecha se enmarca en una tendencia creciente de ataques dirigidos a soluciones ERP, motivados por el alto valor de los datos y el impacto potencial en la continuidad de negocio.
—
### 3. Detalles Técnicos
La vulnerabilidad explotada se relaciona con el CVE-2024-21304, una falla de deserialización insegura en Oracle E-Business Suite (versiones 12.1 y 12.2), catalogada con un CVSS 9.8 (crítica). Esta vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en el servidor de aplicaciones, eludiendo mecanismos de autenticación y escalando privilegios.
**Vectores de ataque:**
El vector principal identificado ha sido la explotación remota a través del puerto de administración de EBS, expuesto inadvertidamente a Internet debido a una mala configuración de firewall. Los atacantes emplearon TTPs asociados a MITRE ATT&CK como Initial Access (T1190 – Exploit Public-Facing Application), Privilege Escalation (T1068 – Exploitation for Privilege Escalation) y Collection (T1005 – Data from Local System).
**Indicadores de compromiso (IoC):**
– Conexiones desde direcciones IP asociadas con infraestructura de Cobalt Strike y Metasploit Framework.
– Ejecución de scripts PowerShell y payloads binarios no firmados.
– Extracción masiva de archivos .csv y dumps de la base de datos de empleados.
**Exploits conocidos:**
En foros clandestinos se han observado exploits funcionales para esta vulnerabilidad desde marzo de 2024, lo que facilitó su weaponización y comercialización en el mercado negro. La explotación automatizada mediante scripts Python y módulos específicos de Metasploit ha acelerado la propagación del ataque.
—
### 4. Impacto y Riesgos
El incidente ha supuesto la exfiltración de datos personales (nombres, direcciones, números de teléfono, emails y, en algunos casos, información bancaria) de más de 10.000 empleados. Además del posible uso fraudulento, este tipo de datos puede ser empleado en ataques posteriores de spear phishing o ingeniería social dirigidos a la cadena de suministro.
Económicamente, el coste estimado de respuesta y mitigación podría superar los 2 millones de euros, sumando potenciales sanciones regulatorias bajo el GDPR, que contempla multas de hasta el 4% de la facturación global. El riesgo reputacional y la pérdida de confianza de clientes y empleados son igualmente significativos.
—
### 5. Medidas de Mitigación y Recomendaciones
– **Aplicación inmediata de parches:** Oracle publicó actualizaciones críticas de seguridad (CPU) el 18 de abril de 2024 para corregir el CVE-2024-21304. Es imprescindible actualizar a las versiones 12.1.3 o 12.2.11 (o superiores).
– **Revisión de configuraciones:** Verificar y restringir el acceso remoto a puertos de administración y servicios críticos de EBS.
– **Monitorización y detección:** Implementar reglas de correlación en SIEM para detectar actividades anómalas asociadas a TTPs identificadas.
– **Rotación de credenciales y MFA:** Cambiar contraseñas afectadas y habilitar autenticación multifactor, especialmente para cuentas con privilegios elevados.
– **Auditoría de logs y análisis forense:** Revisar exhaustivamente logs de acceso, ejecución de scripts y transferencias inusuales de datos.
– **Notificación a los afectados y cumplimiento normativo:** Seguir las directrices del GDPR y NIS2, asegurando la comunicación transparente con empleados y autoridades.
—
### 6. Opinión de Expertos
Carlos Fernández, CISO de una consultora multinacional, advierte: “La exposición de sistemas ERP críticos a internet es una puerta de entrada para ciberataques devastadores. La gestión de parches y la segmentación de red deben ser prioritarias en cualquier organización con infraestructuras sensibles”.
Por su parte, Marta Gómez, analista SOC, señala la importancia de la monitorización proactiva: “El uso de Cobalt Strike y Metasploit en ataques a plataformas ERP confirma que los actores de amenazas están profesionalizando sus operaciones. La detección basada en comportamiento es clave para anticipar movimientos laterales y exfiltración”.
—
### 7. Implicaciones para Empresas y Usuarios
Para las empresas, el incidente subraya la necesidad de una estrategia integral de protección de sistemas ERP y la actualización constante frente a nuevas vulnerabilidades. La supervisión de la exposición a internet, la formación en ciberseguridad y la respuesta rápida ante incidentes son esenciales.
Para los empleados, es fundamental extremar la precaución ante intentos de fraude o suplantación, especialmente tras la exposición de datos personales. La colaboración con los equipos de seguridad y el reporte inmediato de conductas sospechosas pueden mitigar riesgos adicionales.
—
### 8. Conclusiones
La brecha en GlobalLogic es un claro recordatorio del atractivo que suponen las plataformas ERP para los ciberdelincuentes y la importancia de la ciberhigiene básica, especialmente en entornos con alta criticidad. La rápida respuesta, la transparencia y la colaboración entre departamentos serán determinantes para minimizar el impacto y restaurar la confianza tras incidentes de este calibre.
(Fuente: www.bleepingcomputer.com)