El 25 de febrero de 2025, Oracle y la CISA emitieron conjuntamente una alerta sobre la vulnerabilidad CVE-2024-20953 en Oracle Agile Product Lifecycle Management (PLM), que estaba siendo activamente explotada para realizar ejecución remota de código en servidores corporativos. Según el informe oficial, el componente responsable de procesar objetos Java serializados no validaba firmas ni limitaba las clases permitidas, lo que permitió a atacantes remotos enviar cargas maliciosas directamente al endpoint /agile/servlet/PLMServlet y ejecutar instrucciones arbitrarias con los permisos del proceso de la aplicación.
Modo de ataque y alcance
La explotación consistió en la construcción de objetos Java manipulados que, al deserializarse en el servidor de Oracle Agile PLM, invocaban internamente métodos de la clase java.lang.Runtime para lanzar procesos del sistema operativo. Estos payloads descargaban y ejecutaban scripts encubiertos, abriendo shells inversos y estableciendo persistencia en la infraestructura de la víctima. Se confirmaron incidentes en al menos dos grandes fabricantes automotrices y una firma aeroespacial, donde los atacantes lograron acceder a repositorios de ingeniería y modificar parámetros críticos de configuración antes de ser detectados.
Impacto en operaciones y finanzas
La intrusión forzó la desconexión inmediata de los entornos de Oracle Agile PLM en las plantas afectadas, interrumpiendo flujos de trabajo de diseño, validación de piezas y planificación de producción durante varios días. Las demoras en los cronogramas de lanzamiento de nuevos modelos y en la gestión de cambios de ingeniería se tradujeron en pérdidas operativas estimadas en 12 M USD, mientras que los costes adicionales de respuesta forense, recuperación de sistemas y pago de licencias urgentes para parches ascendieron a cerca de 15 M USD.
Recomendaciones y respuesta institucional
Oracle publicó un parche de seguridad en su Critical Patch Update de febrero de 2025 y urgió a todos los clientes a aplicarlo de inmediato. La CISA recomendó acompañar la actualización con la activación de mecanismos de validación de firmas digitales para objetos serializados, la implementación de listas blancas de clases durante la deserialización y la migración a formatos de intercambio de datos más seguros como JSON con esquemas o Protobuf. Además, se aconsejó reforzar los programas de recompensas (bug bounty) y someter la plataforma a pruebas de fuzzing específicas de deserialización antes de volver a reactivar los entornos productivos.