В PeopleSoft произошла уязвимость нулевого дня, затронувшая сотни организаций и похитившая гигабайты данных.

Уязвимости в программном обеспечении PeopleSoft, принадлежащем Oracle, являются одними из самых критических.

Фото: Месут Доган

По словам исследователей, одна из самых активных в мире группировок, занимающихся вымогательством, использовала критическую уязвимость в программном пакете Oracle PeopleSoft и применила ее для атаки примерно на 100 клиентов, вымогая деньги как минимум у одного из них в обмен на неразглашение украденных данных.

Группа, зарегистрированная под названием ShinyHunters, более двух недель использовала уязвимость PeopleSoft, прежде чем Oracle обратила на нее внимание. Уязвимость CVE-2026-35273, как она отслеживается, имеет рейтинг серьезности 9,8 из 10, что делает эту уязвимость нулевого дня одной из самых критических уязвимостей года, которые могут быть использованы злоумышленниками.

Команда безопасности Mandiant компании Google заявила, что это уязвимость SSRF (server-side request forgery), позволяющая злоумышленникам отправлять запросы с уязвимого сервера на системы, используемые целевой организацией. Компания Oracle заявила, что SSRF может быть использована удаленно, и выпустила временное решение, но еще не полностью устранила уязвимость. Google подтвердила, что жертвы получают требования о вымогательстве.

9.8. 0-дневная уязвимость эксплуатировалась в течение 2 недель.

В среду Ноттингемский университет подтвердил, что стал жертвой хакерской атаки, в результате которой «значительный» объем данных студентов попал в руки злоумышленника. Подтверждение последовало после того, как компания ShinyHunters заявила, что университет стал одной из ее недавних жертв, и опубликовала гигабайты данных, которые, по ее утверждению, были украдены в результате взлома.

Компания Mandiant заявила, что ShinyHunters использует уязвимость с 27 мая. По состоянию на среду группа атаковала около 300 конечных точек, принадлежащих 100 организациям-пользователям. Примерно 68 процентов организаций работали в секторе высшего образования. Во вторник исследователь заявил, что группа, ответственная за атаку, «раскрыла доступ к нескольким каталогам, свидетельствующим о продолжающейся атаке на PeopleSoft». Злоумышленники также оставили открытым тестовый сервер, содержащий инструменты, используемые в атаке.

«Хотя нескольким организациям удалось успешно заблокировать утечку данных или устранить уязвимости, другие столкнулись с компрометацией, в результате чего украденные данные были опубликованы на сайте утечки данных ShinyHunters», — сказал Мандиант. (DLS — сокращение от «сайт утечки данных»).

Анализ bash-скрипта, оставленного в тестовой среде, показывает, что злоумышленники проводили разведку скомпрометированных организаций, включая сопоставление конфигураций PeopleSoft, просмотр XML-конфигураций планировщика процессов и сервера WebLogic. В конечном итоге, злоумышленники установили исходящее SSH-соединение с IP-адресом 176.120.22.24, на котором размещен DLS компании ShinyHunters. Украденные данные были сначала сжаты с помощью инструмента zstd. DLS заявила о восстановлении 48 ГБ данных от одной жертвы.

Частично отредактированный фрагмент DLS от ShinyHunters. Источник: Mandiant

ShinyHunters действует как минимум с 2019 года. За последние несколько лет компания совершила множество хакерских атак на крупнейшие мировые компании, затронув миллионы людей. В числе пострадавших — Ticketmaster (через утечку данных в Snowflake), крупнейший банк Испании, Santander, и Salesforce (а через неё — Google и, как сообщается, многие другие компании). ShinyHunters использует различные методы для получения первоначального доступа, включая использование ошибок конфигурации облачных сервисов и уязвимостей программного обеспечения, кражу токенов OAuth, атаки на цепочки поставок, голосовой фишинг и другие формы социальной инженерии.

Компании Mandiant и Rapid7 предоставляют подробные индикаторы компрометации. Они также консультируют клиентов PeopleSoft о шагах, которые им следует предпринять немедленно. Учитывая высокий процент успеха ShinyHunters, всем пользователям PeopleSoft следует прислушаться к этим призывам.

Источник: arstechnica.com