CVE-2026-46817: mais de 900 instâncias do Oracle E-Business Suite expostas a ataques em curso

Uma vulnerabilidade crítica no Oracle E-Business Suite (EBS) está a ser ativamente explorada por atacantes, numa altura em que mais de 900 instâncias deste software continuam expostas na Internet, segundo dados divulgados esta semana pela organização de monitorização Shadowserver. A falha, identificada como CVE-2026-46817, tem uma pontuação de gravidade de 9,8 em 10 na escala CVSS e permite a um atacante sem qualquer credencial assumir o controlo total de sistemas vulneráveis apenas através de pedidos HTTP.

O que é a CVE-2026-46817

A vulnerabilidade reside no componente de transmissão de ficheiros (File Transmission) do módulo Oracle Payments, parte do Oracle E-Business Suite, a suite de gestão empresarial usada por muitas organizações de média e grande dimensão para processos financeiros, faturação, pagamentos e recursos humanos. Afeta as versões 12.2.3 a 12.2.15 do EBS e não exige autenticação prévia nem qualquer interação da vítima: basta acesso de rede via HTTP para que um atacante consiga comprometer o sistema, o que a torna particularmente perigosa em ambientes onde estas aplicações ficam acessíveis diretamente na Internet, em vez de atrás de uma rede interna ou VPN.

A Oracle corrigiu esta falha em maio, integrando-a no seu Critical Security Patch Update de maio de 2026, um pacote regular de atualizações que, nesse mês, incluiu uma dezena de correções apenas para o E-Business Suite. Na altura, a CVE-2026-46817 já se destacava como uma das mais graves desse lote, mas a Oracle não a assinalava como explorada em ataques reais, o que levou muitas organizações a tratar a correção como não urgente.

Exploração ativa, sem código público disponível

Essa avaliação mudou na semana passada. A empresa de inteligência de ameaças Defused reportou ter observado, ao longo do fim de semana de 27 e 28 de junho, tentativas de exploração da falha contra os seus honeypots, sistemas-isco montados para detetar atividade maliciosa. Segundo a Defused, não existe registo de exploração anterior da vulnerabilidade nem qualquer prova de conceito pública conhecida, o que sugere que o atacante desenvolveu a sua própria ferramenta de ataque, em vez de reutilizar código já divulgado por investigadores.

Os pedidos maliciosos identificados dirigiam-se ao endpoint /OA_HTML/ibytransmit com cargas XML que abusavam do esquema de transmissão “CODEX_PULL”, numa tentativa de leitura de ficheiros sensíveis do sistema, como o /etc/passwd, através de uma técnica de path traversal. O tráfego foi associado a um único endereço IP e a uma ferramenta que se identificava através de um user-agent próprio, reforçando a hipótese de uma operação dirigida e não de um scanner genérico à procura de qualquer alvo disponível.

Uma exposição que continua a crescer

Nos primeiros relatos sobre esta exploração, no final de junho, a Shadowserver contabilizava cerca de 450 instâncias de Oracle EBS expostas publicamente na Internet, com concentração nos Estados Unidos e na Europa. Dados mais recentes, divulgados no início de julho, elevam esse número para perto de 950 sistemas. Não é claro se este crescimento reflete uma metodologia de contagem mais abrangente por parte da Shadowserver ou um aumento real de instâncias descobertas nos últimos dias, mas, em qualquer dos casos, não há garantia de que estes sistemas já tenham aplicado a correção da Oracle. Uma instância exposta e não corrigida é, na prática, um alvo aberto, e o número de vítimas confirmadas tende a crescer nas semanas seguintes à divulgação de uma exploração ativa como esta.

Não é a primeira vez, e provavelmente não será a última

O Oracle E-Business Suite tornou-se, nos últimos meses, um alvo recorrente de campanhas de exploração. Desde agosto de 2025, o grupo de extorsão Clop tem explorado outra vulnerabilidade de dia zero no EBS para roubar dados de dezenas de organizações, incluindo várias universidades norte-americanas e empresas como a Logitech ou a Washington Post. Mais recentemente, uma falha distinta no módulo PeopleSoft da Oracle foi explorada pelo grupo ShinyHunters entre maio e junho, afetando organizações como a Universidade de Nottingham e, também, colaboradores da Nissan, um caso já noticiado neste site. A agência norte-americana CISA acrescentou, desde 2021, 44 vulnerabilidades de produtos Oracle ao seu catálogo de falhas ativamente exploradas, 13 das quais já associadas a grupos de ransomware.

Este padrão não é coincidência. Os produtos empresariais da Oracle são tipicamente instalados em ambientes on-premise, o que significa que a responsabilidade pela aplicação de correções recai inteiramente sobre o cliente, e não sobre um fornecedor de cloud que possa atualizar automaticamente milhares de instâncias de uma só vez. Quando a correção existe mas não é aplicada, seja por falta de recursos internos, seja por medo de interromper processos críticos de negócio, a janela de exposição pode manter-se aberta durante meses, precisamente o intervalo que grupos como o Clop ou o ShinyHunters têm sistematicamente aproveitado.

Recomendações práticas para equipas de TI

Para organizações que utilizem Oracle E-Business Suite, sobretudo em áreas críticas como faturação, pagamentos ou gestão de recursos humanos, há um conjunto de passos concretos a considerar:

  • Confirmar, junto da equipa de infraestrutura ou do fornecedor de suporte, que o Critical Security Patch Update de maio de 2026 foi efetivamente aplicado a todas as instâncias de EBS em produção.
  • Restringir o acesso direto da Internet a estes sistemas, mantendo-os acessíveis apenas através de redes internas ou de VPN corporativa, sempre que a arquitetura da organização o permita.
  • Rever registos de acesso ao endpoint /OA_HTML/ibytransmit à procura de pedidos anómalos, sobretudo com referências ao esquema “CODEX_PULL” ou tentativas de acesso a ficheiros de sistema.
  • Tratar futuras atualizações críticas da Oracle como eventos de resposta a emergência, e não como manutenção trimestral de rotina, dado o histórico recente de exploração rápida de falhas já corrigidas.

Porque é que isto importa

Este episódio ilustra também um princípio central do Regime Jurídico da Cibersegurança português, o Decreto-Lei n.º 125/2025 que transpõe a diretiva NIS2: entidades essenciais e importantes têm o dever de gerir de forma ativa e continuada as vulnerabilidades dos sistemas que suportam os seus serviços, não bastando aplicar correções apenas quando surge um incidente. Um patch disponível há mais de um mês e ainda por aplicar em centenas de sistemas, como neste caso, é precisamente o tipo de lacuna que a regulação europeia sobre segurança do software, incluindo o Regulamento de Ciber-Resiliência, procura reduzir ao longo de toda a cadeia de fornecimento tecnológico.

Esta informação tem caráter noticioso e baseia-se em dados divulgados publicamente pela Oracle, pela Shadowserver e pela empresa de inteligência de ameaças Defused, reportados pela BleepingComputer, SecurityWeek e outros órgãos de imprensa internacional especializados em cibersegurança.