Clop explota una vulnerabilidad en Oracle E-Business Suite para robar datos del NHS británico
Introducción
En un nuevo episodio que pone de relieve la creciente sofisticación de los ciberataques dirigidos contra el sector sanitario, Barts Health NHS Trust, uno de los mayores consorcios hospitalarios del Reino Unido, ha confirmado una brecha de seguridad significativa. El incidente ha sido atribuido al conocido grupo de ransomware Clop, que ha logrado exfiltrar archivos sensibles de una base de datos mediante la explotación de una vulnerabilidad crítica en el software Oracle E-Business Suite. Este ataque pone de manifiesto la importancia de mantener los sistemas ERP actualizados y refuerza la necesidad de una vigilancia continua ante las amenazas avanzadas y dirigidas.
Contexto del Incidente
Barts Health NHS Trust gestiona varios hospitales de referencia en Londres y es responsable del tratamiento de millones de pacientes al año. La organización ha reconocido que los actores de Clop lograron acceso no autorizado a una base de datos interna tras aprovechar una vulnerabilidad en Oracle E-Business Suite, una plataforma ampliamente utilizada para la gestión de procesos empresariales críticos, incluyendo recursos humanos, finanzas y cadena de suministro.
El incidente se produce en un momento de elevada presión sobre el sector sanitario, que ha sido objetivo frecuente de ransomware debido al valor de los datos que gestiona y a la criticidad de sus servicios. Según datos de la Information Commissioner’s Office (ICO) del Reino Unido, los ataques de ransomware contra organizaciones sanitarias aumentaron un 37% en el último año.
Detalles Técnicos
La vulnerabilidad explotada corresponde a la CVE-2022-21587, una falla de ejecución remota de código en Oracle E-Business Suite (EBS), catalogada con una puntuación CVSS de 9.8 (crítica). Esta brecha permite a un atacante remoto sin autenticación ejecutar comandos arbitrarios en el sistema afectado, comprometiendo la integridad y confidencialidad de los datos.
– Versiones afectadas: Oracle EBS R12.1 y R12.2 sin los parches de seguridad publicados antes de octubre de 2022.
– Vector de ataque: Acceso remoto a través de puertos expuestos, habitualmente el 8000/TCP y 8080/TCP, empleados por los servicios web de Oracle EBS.
– TTPs (MITRE ATT&CK): El ataque se alinea con las técnicas T1190 (“Exploitation of Remote Services”) y T1041 (“Exfiltration Over C2 Channel”).
– IoC conocidos: Actividad inusual en logs de acceso, creación de cuentas administrativas no autorizadas y patrones de tráfico saliente hacia infraestructura controlada por Clop.
– Herramientas y frameworks: Existen exploits públicos en Metasploit y PoC en GitHub que automatizan la explotación de la CVE-2022-21587.
Impacto y Riesgos
La brecha ha resultado en la sustracción de información confidencial almacenada en la base de datos de Oracle EBS, que podría incluir datos personales de pacientes, historiales médicos, detalles financieros y credenciales de acceso interno. La exposición de este tipo de datos supone un riesgo elevado de extorsión, fraude y daño reputacional.
Clop es conocido por emplear técnicas de doble extorsión: no solo cifra los datos, sino que amenaza con publicarlos si no se satisface el rescate. Hasta la fecha, el grupo ha publicado parte de los archivos sustraídos en su portal de filtraciones, incrementando la presión sobre Barts Health NHS Trust.
El impacto potencial de este incidente no se limita a la interrupción operativa. La organización podría enfrentarse a sanciones bajo el GDPR y la actualizada NIS2, que exige una notificación rápida de incidentes y la aplicación de medidas técnicas y organizativas adecuadas.
Medidas de Mitigación y Recomendaciones
Para mitigar este tipo de amenazas, los expertos recomiendan:
– Aplicar inmediatamente los parches de seguridad de Oracle E-Business Suite, especialmente los emitidos en octubre y noviembre de 2022.
– Restringir el acceso remoto a los puertos de administración de Oracle EBS mediante firewalls y VPNs.
– Monitorizar proactivamente los logs de acceso y las cuentas de usuario en busca de actividad anómala.
– Implementar segmentación de red y controles de acceso basados en roles (RBAC).
– Realizar auditorías periódicas de seguridad y simulaciones de ataque (red teaming) para validar la resiliencia del entorno ERP.
– Disponer de copias de seguridad cifradas y realizar pruebas regulares de recuperación ante incidentes.
Opinión de Expertos
David Emm, analista principal de Kaspersky, señala: “Este ataque demuestra que la exposición de servicios críticos y la falta de parcheo siguen siendo vectores de ataque recurrentes. Las plataformas ERP como Oracle EBS tienen una superficie de ataque extensa y, al integrar procesos críticos, su compromiso puede tener consecuencias devastadoras”.
Por su parte, el SANS Institute alerta que los grupos de ransomware están invirtiendo en nuevas cadenas de explotación dirigidas a aplicaciones empresariales, dada su criticidad y la lentitud en la aplicación de parches por parte de muchas organizaciones.
Implicaciones para Empresas y Usuarios
Este incidente subraya la necesidad de adoptar un enfoque de “defensa en profundidad” para proteger los sistemas de gestión empresarial. Las organizaciones deben revisar su inventario de activos, priorizar el parcheo de aplicaciones críticas y reforzar la formación del personal en respuesta a incidentes.
Para los usuarios cuyas informaciones puedan haber sido expuestas, es recomendable vigilar posibles intentos de phishing o fraude, y seguir las recomendaciones de las autoridades y del propio NHS.
Conclusiones
El ataque a Barts Health NHS Trust evidencia la evolución de las amenazas contra infraestructuras críticas y la urgencia de adoptar buenas prácticas de ciberseguridad en el sector sanitario. La explotación de vulnerabilidades no parcheadas en aplicaciones empresariales seguirá siendo un vector de riesgo prioritario para los actores de ransomware en 2024. La colaboración entre proveedores de software, equipos de respuesta y cuerpos regulatorios será clave para minimizar el impacto de futuros incidentes.
(Fuente: www.bleepingcomputer.com)