AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

### Clop compromete datos de Envoy Air explotando vulnerabilidad en Oracle E-Business Suite

admin

#### Introducción

En un nuevo incidente que subraya la creciente sofisticación de los ataques de ransomware dirigidos a la cadena de suministro, Envoy Air, filial regional propiedad de American Airlines, ha confirmado la exposición de datos sensibles tras la explotación de su entorno Oracle E-Business Suite (EBS). El grupo de ransomware Clop, conocido por sus campañas de extorsión a gran escala, ha listado a American Airlines en su sitio de filtraciones, apuntando directamente a la matriz a través de una brecha en su subsidiaria. Este ataque evidencia la criticidad de mantener actualizados los sistemas ERP y la necesidad de una vigilancia constante frente a amenazas avanzadas.

#### Contexto del Incidente

El incidente se destapa tras la publicación, por parte del grupo Clop, de parte de los datos supuestamente exfiltrados de Envoy Air en su portal de filtraciones. Clop ha adquirido notoriedad internacional por ataques masivos explotando vulnerabilidades de día cero, como las sufridas recientemente por MOVEit y Accellion FTA. En este caso, la puerta de entrada identificada ha sido una instancia de Oracle E-Business Suite, una plataforma ampliamente desplegada para la gestión de operaciones financieras, recursos humanos y logística en grandes organizaciones.

Envoy Air, integrada en la estructura operativa de American Airlines Group, opera vuelos regionales bajo la marca American Eagle. La confirmación oficial del incidente llega tras la aparición de la aerolínea en el listado de víctimas de Clop, lo que sugiere la existencia de negociaciones fallidas o la negativa de pago del rescate.

#### Detalles Técnicos

**Vulnerabilidad y vectores de ataque:**
Aunque Envoy Air no ha detallado públicamente la vulnerabilidad específica explotada, fuentes del sector y análisis de patrones de ataques recientes sugieren la posible explotación de CVE-2022-21587 y CVE-2021-35587, vulnerabilidades críticas en Oracle EBS que permiten ejecución remota de código (RCE) sin autenticación en componentes de integración (Oracle Web Applications Desktop Integrator, OA Framework). Ambas han sido ampliamente documentadas y cuentan con exploits funcionales disponibles en frameworks como Metasploit.

**TTPs y MITRE ATT&CK:**
El grupo Clop emplea tácticas de doble extorsión, combinando cifrado de datos con la exfiltración previa de información sensible. El ataque sigue, previsiblemente, las fases del marco MITRE ATT&CK, destacando técnicas como:

– **Initial Access (T1190 – Exploit Public-Facing Application):** Explotación directa de la aplicación Oracle expuesta a Internet.
– **Execution (T1059 – Command and Scripting Interpreter):** Ejecución de scripts y payloads en el servidor comprometido.
– **Exfiltration (T1041 – Exfiltration Over C2 Channel):** Extracción de datos hacia servidores controlados por Clop antes del despliegue del ransomware.
– **Impact (T1486 – Data Encrypted for Impact):** Cifrado de archivos críticos como mecanismo de presión.

**Indicadores de compromiso (IoC):**
Se han observado conexiones salientes a dominios y direcciones IP asociados a infraestructura de Clop, así como la presencia de artefactos de Cobalt Strike y scripts de PowerShell obfuscados para persistencia y movimiento lateral.

#### Impacto y Riesgos

El impacto potencial abarca la exposición de datos personales de empleados, información financiera, contratos y comunicaciones internas, con especial riesgo para la confidencialidad de datos protegidos bajo el Reglamento General de Protección de Datos (GDPR) y la Directiva NIS2, de obligado cumplimiento para operadores del sector transporte aéreo.

La afectación se estima relevante dada la integración de Oracle EBS en los procesos clave de Envoy Air. El ransomware y la exfiltración ponen en peligro la operativa diaria, la reputación corporativa y pueden derivar en sanciones regulatorias significativas. El análisis de BleepingComputer apunta a que el 18% de las compañías afectadas por Clop en los últimos 12 meses pertenecen a sectores críticos, con pérdidas medias que superan los 4 millones de euros por incidente según el informe 2023 de IBM Security.

#### Medidas de Mitigación y Recomendaciones

– **Parcheado inmediato** de todas las instancias Oracle EBS, especialmente las versiones anteriores a 12.2.11.
– **Restricción de acceso**: Limitar el acceso externo únicamente a direcciones IP internas o mediante VPN.
– **Auditoría de logs**: Revisión exhaustiva de registros de acceso, conexiones salientes y cambios no autorizados.
– **Despliegue de EDR/NDR**: Soluciones avanzadas de detección y respuesta para identificar comportamientos anómalos y actividades de Cobalt Strike.
– **Segregación de redes** y aplicación de políticas de mínimo privilegio.
– **Cifrado y backup offline** de datos críticos, probando regularmente los planes de recuperación ante desastres.
– **Formación y concienciación** del personal sobre phishing y TTPs de ransomware.

#### Opinión de Expertos

María Fernández, responsable de ciberinteligencia en una consultora europea, advierte: “La exposición de Oracle EBS en entornos accesibles desde Internet sigue siendo una de las peores prácticas de seguridad. El caso de Envoy Air demuestra cómo los atacantes priorizan objetivos con plataformas ERP desactualizadas y sin segmentación, maximizando el impacto operativo y regulatorio.”

Por su parte, analistas de SANS Institute subrayan el crecimiento de ataques orientados a la cadena de suministro y la importancia de auditar periódicamente las integraciones con terceros y filiales.

#### Implicaciones para Empresas y Usuarios

Para las empresas, el incidente es un recordatorio de la necesidad de mantener un inventario actualizado de activos críticos, aplicar parches con celeridad y reforzar la supervisión de sistemas legacy. El cumplimiento de GDPR y NIS2 obliga a notificar brechas en menos de 72 horas y a demostrar la existencia de medidas técnicas y organizativas suficientes.

Para los usuarios, aunque el riesgo directo es limitado, se recomienda vigilar comunicaciones sospechosas y cambiar contraseñas si han sido empleados o clientes de la aerolínea.

#### Conclusiones

El ataque a Envoy Air mediante la explotación de Oracle E-Business Suite pone de relieve la exposición de sistemas ERP como vector crítico en campañas de ransomware dirigidas. El auge de grupos como Clop refuerza la urgencia de adoptar estrategias de defensa en profundidad, priorizar el parcheado y fortalecer la colaboración entre matriz y filiales en materia de ciberseguridad.

(Fuente: www.bleepingcomputer.com)