Oracle E-Business Suite CVE-2026-46817: la lettura file non autenticata dentro Payments
CVE-2026-46817 è una falla di autenticazione mancante CVSS 9.8 in Oracle E-Business Suite Payments, sfruttata in the wild sei settimane dopo la patch e prima di ogni PoC pubblico.
Il 27 giugno 2026 la società di threat intelligence Defused ha visto i propri honeypot Oracle E-Business Suite registrare il primo sfruttamento in the wild di CVE-2026-46817 — una falla CVSS 9.8 nel modulo Oracle Payments. Del timing contano due cose più del punteggio. Oracle aveva rilasciato la correzione circa sei settimane prima, nel Critical Patch Update di maggio 2026. E non esisteva ancora nessun proof-of-concept pubblico. Qualcuno aveva fatto reverse engineering della patch, scritto una lettura di file non autenticata funzionante e l'aveva puntata su sistemi ERP esposti a internet prima che il resto dell'industria avesse anche solo un PoC su cui fare test. Quella finestra — patchato ma non al sicuro, sfruttato ma invisibile — è tutta la storia.
Cos'è davvero CVE-2026-46817
La vulnerabilità risiede nel componente File Transmission di Oracle Payments, raggiungibile all'endpoint /OA_HTML/ibytransmit su qualunque istanza EBS con il web tier esposto. Il linguaggio dell'advisory Oracle, ripreso dalle analisi di The Hacker News e Help Net Security, descrive tre fallimenti in sequenza: gestione impropria dei privilegi, autenticazione impropria e autenticazione mancante per una funzione critica. In parole povere: un attaccante non autenticato, con nulla più dell'accesso HTTP, può invocare una funzione che non avrebbe mai dovuto essere raggiungibile senza credenziali.
Il proof-of-concept osservato lo ha usato come lettura arbitraria di file — richiamando una routine Java interna a Oracle per estrarre file come /etc/passwd direttamente dal server applicativo. Sembra innocuo finché non si ricorda cos'altro vive su un middle tier EBS: file dbc con le credenziali di connessione al database, materiale di wallet e chiavi di cifratura, configurazioni con le API key dei payment processor. Una lettura file su un server Payments non è divulgazione di informazioni in astratto. È il mazzo di chiavi.
- CVE: CVE-2026-46817, CVSS 9.8 (critica)
- Vettore: non autenticato, rete, bassa complessità, nessuna interazione utente
- Componente: Oracle Payments — File Transmission (
/OA_HTML/ibytransmit) - Interessate: Oracle E-Business Suite dalla 12.2.3 alla 12.2.15
- Corretta: Oracle Critical Patch Update di maggio 2026
- Primo sfruttamento: 27 giugno 2026, prima di qualsiasi PoC pubblico
Perché Oracle E-Business Suite continua a diventare una porta per l'esfiltrazione
Non è la prima volta negli ultimi dodici mesi che una falla adiacente a EBS Payments si trasforma in un evento di furto dati di massa. A ottobre 2025 la banda estorsiva Cl0p ha condotto una campagna zero-day contro Oracle E-Business Suite usando CVE-2025-61882, leggendo dati dagli ERP delle vittime e scrivendo ai dirigenti per chiedere il pagamento. CVE-2026-46817 è un bug diverso e, finora, un'altra mano — ma la forma è identica, ed è proprio questo il punto su cui vale la pena fermarsi.
EBS è un'applicazione Java vecchia di quindici anni che la maggior parte delle aziende espone a internet perché sedi periferiche, fornitori e portali iSupplier/iStore possano raggiungerla. Concentra esattamente i dati che un attore estorsivo cerca — coordinate bancarie dei fornitori, cicli paghe, ordini d'acquisto, istruzioni di pagamento — dietro una superficie di autenticazione stratificatasi per quindici anni. Ogni anno di retrocompatibilità è un altro anno di endpoint che precedono il modello di autenticazione attuale. ibytransmit è uno di questi.
"Eravamo completamente patchati entro il ciclo di giugno." "La patch è arrivata il 28 maggio. Il primo sfruttamento è del 27 giugno. Cos'ha fatto la macchina tra queste due date?" "…dovremmo andare a recuperare i log di accesso." "Ecco la risposta. Nessuno guardava il traffico mentre era raggiungibile."
L'economia premia esattamente questo comportamento. Leggere un file di configurazione ed esfiltrare in silenzio un database clienti è più a basso rischio e più redditizio che rilasciare un ransomware che fa scattare ogni allarme EDR del parco macchine. La doppia estorsione va da due anni verso l'esfiltrazione-prima; una lettura file non autenticata e silenziosa su un sistema finanziario ne è la versione più pulita.
La finestra che nessuno guardava: patchato non vuol dire pulito
Ecco la trappola operativa. Applicare il CPU di maggio 2026 chiude ibytransmit. Non dice se l'endpoint è stato letto durante le settimane in cui era aperto, e non fa nulla per le credenziali che potrebbero essere già uscite. Se un attaccante ha estratto il tuo file dbc o il materiale del wallet il 20 giugno, patchare il 1° luglio chiude una porta le cui chiavi sono già state copiate.
La maggior parte delle vittime di questa categoria scopre il furto settimane dopo — in un'email di riscatto, in un annuncio sul dark web, in una segnalazione di frode bancaria. Il motivo è strutturale: gli strumenti di endpoint sull'host EBS vedono un processo Oracle legittimo che legge un file legittimo su una porta legittima. Non c'è malware da classificare, nessun binario di exploit da mandare in sandbox. L'unico punto in cui l'evento è inequivocabile è la rete — un host esposto a internet che normalmente serve HTML e che all'improvviso emette contenuti di file, oppure staging e spinta di volume in uscita verso un sistema autonomo con cui non ha mai parlato prima. Se non modelli quel comportamento a velocità di rete, la finestra di sei settimane è semplicemente invisibile.
Remediation
Tratta ogni istanza EBS 12.2.x esposta a internet come presunta-sondata finché non hai prova dai log del contrario. Lavora la lista dall'alto verso il basso.
1. Sono interessato?
Conferma la versione e se il web tier di Payments è esposto.
# Versione — dall'applications tier EBS
grep -i 'RELEASE' $APPL_TOP/admin/*.txt 2>/dev/null
# oppure via SQL:
# SELECT release_name FROM fnd_product_groups;
# L'endpoint vulnerabile è raggiungibile dall'esterno?
curl -sk -o /dev/null -w "%{http_code}\n" https://<host-ebs>/OA_HTML/ibytransmit
Qualsiasi versione nell'intervallo 12.2.3–12.2.15 con /OA_HTML/ raggiungibile da reti non fidate è in ambito.
2. Patch — applica la correzione
Applica l'Oracle Critical Patch Update di maggio 2026 per la tua release EBS. È la remediation ufficiale del vendor; non esiste un workaround di configurazione supportato che rimuova completamente la falla. Verifica che la patch sia registrata:
SELECT patch_name, applied_date FROM ad_bugs WHERE patch_name LIKE '%2026%';
3. Non puoi patchare subito? Controlli compensativi
- Blocca
ibytransmitsul reverse proxy / WAF. NegaPOSTeGETverso/OA_HTML/ibytransmitda tutto ciò che non sia un partner di trasmissione autenticato e in allow-list. - Togli il web tier da internet pubblico. Se i portali esterni non ne hanno stretto bisogno, poni EBS dietro VPN o mTLS. L'esposizione a internet è la precondizione dell'intero attacco.
- Applica rate-limit e alert sulle richieste non autenticate ai percorsi
/OA_HTML/.
4. Caccia alla compromissione
Cerca nei log del web tier e del proxy fino al 28 maggio 2026 (disponibilità della patch), non solo negli ultimi giorni:
- Richieste
POST/GETverso/OA_HTML/ibytransmit, soprattutto da singoli IP sorgente non-partner — l'IOC osservato (MITRE ATT&CK T1190, Exploit Public-Facing Application). - Risposte a quelle richieste che restituiscono contenuto simile a file o conteggi di byte anomali (T1005 Data from Local System, T1552.001 Credentials In Files).
- Sessioni in uscita dall'host EBS verso ASN mai visti prima, o volume di egress sostenuto da un host che storicamente solo riceve (T1020 Automated Exfiltration, T1029 Scheduled Transfer, T1048/T1567 esfiltrazione su protocollo alternativo / web service).
- File nuovi o modificati sotto
OA_HTML/e nelle directory JSP — drop di web shell successivo (CAPEC-650).
5. Eradica e verifica
Se trovi prova di una lettura riuscita, considera bruciati i segreti che poteva raggiungere:
- Ruota ogni credenziale residente sul middle tier: password del database
dbc/APPS, materiale di wallet e chiavi TDE, API key di integrazione e dei payment processor, eventuali chiavi SSH sull'host. - Rimuovi ogni artefatto JSP/web-shell non autorizzato e i job schedulati inattesi.
- Riesegui il controllo di esposizione del passo 1 dopo aver patchato, per confermare che
ibytransmitora rifiuti le chiamate non autenticate. - Rivedi le transazioni Payments e bancarie a valle relative alla finestra di esposizione, cercando modifiche fraudolente alle coordinate bancarie dei beneficiari.
Ruotare le credenziali prima di aver patchato è lavoro sprecato — la porta è ancora aperta. Patch, poi rotazione, poi verifica pulita.
Intercettare l'esfiltrazione mentre accade
Tutto quanto sopra ha un limite netto: la revisione dei log è retrospettiva. Ti dice cos'è successo dopo che è successo. Per una falla il cui pericolo è tutto in una lettura silenziosa durante una finestra che non sapevi fosse aperta, la domanda utile è se puoi vedere il furto mentre è in corso.
È il problema per cui è stata costruita l'AI Traffic Analysis di Zero Hunt. Un modello di deep learning proprietario, addestrato su miliardi di sequenze PCAP e in esecuzione localmente sulla GPU dell'appliance a oltre 2,7 Gbit/s, osserva il traffico con quattro teste di inferenza parallele — traffico sospetto, classificazione malware, identificazione del tipo di attacco e fingerprinting delle applicazioni. Un host EBS esposto a internet che per anni ha servito HTML e che di colpo emette payload a forma di file verso un sistema autonomo sconosciuto è esattamente l'anomalia comportamentale che quelle teste sono addestrate a far emergere — senza bisogno di una firma per ibytransmit, e senza dipendere dai log dell'host EBS stesso, che un attaccante con una lettura file è ben posizionato per manomettere. Il rilevamento scatta mentre i byte si muovono, non nel digest SIEM del mattino dopo o nell'email di riscatto di tre settimane più tardi.
Sul fronte della validazione, lo swarm di pentest generativo a 10 agenti chiude l'anello che il ciclo delle patch lascia aperto. Invece di richiamare un exploit preconfezionato, i suoi agenti Web ed Exploit scrivono una verifica per-target contro la tua reale superficie /OA_HTML/ibytransmit — testata nell'AI Gym prima ancora di toccare la produzione — così "abbiamo applicato il CPU di maggio" diventa "abbiamo dimostrato che l'endpoint ora rifiuta le letture file non autenticate su questa istanza". Poiché le campagne sono attivate dal cambiamento, il prossimo nodo EBS che compare sul perimetro, o il prossimo config drift che riespone il web tier, fa partire una nuova validazione entro l'ora, invece di aspettare il pentest trimestrale successivo. Patchato, dimostrato e sorvegliato — tre lavori diversi, e CVE-2026-46817 ricorda che farne solo il primo lascia la finestra spalancata.