Oracle попередила корпоративних замовників про критичну уразливість у своєму програмному забезпеченні PeopleSoft, яке великі компанії використовують для керування нарахуванням заробітної плати та HR-процесами. Це сталося наступного дня після того, як кіберзлочинна група ShinyHunters заявила, що використала цю вразливість у масштабній хакерській кампанії.
Компанія опублікувала попередження в четвер, після того як ShinyHunters оголосили, що зламали понад 100 організацій, які використовують сервери PeopleSoft.
Підрозділ Mandiant, що належить Google і спеціалізується на розслідуванні кібератак, у своєму блозі попередив, що нова уразливість Oracle — це саме той баг, який ShinyHunters експлуатує в поточній кампанії проти клієнтів PeopleSoft.
Oracle, яка на момент публікації ще не випустила виправлення, зазначила в своєму попередженні, що експлуатація уразливості можлива через інтернет без будь-якої автентифікації, наприклад, без введення пароля.
Технологічний гігант рекомендував клієнтам, які використовують PeopleSoft, застосувати запропоновані тимчасові заходи захисту, щоб запобігти експлуатації багу.
У середу представник ShinyHunters повідомив TechCrunch, що група зламувала компанії, використовуючи невиправлену вразливість у серверах PeopleSoft. Такий баг називають «нульовим днем» (zero-day), оскільки постачальник продукту, у цьому випадку Oracle, не має часу виправити його до того, як його виявляють і починають активно використовувати.
Mandiant підтвердила, що також сповістила понад «100 глобальних організацій», більшість з яких розташовані у США, щоб обмежити доступ до потенційно вразливих систем. За даними фахівців з кібербезпеки, близько двох третин цих організацій — це заклади вищої освіти, що збігається з раніше озвученими твердженнями ShinyHunters.
«Кільком організаціям вдалося успішно заблокувати активність або усунути вразливості, але інші зазнали компрометації, в результаті чого викрадені дані були опубліковані на сайті витоків даних ShinyHunters», — написала Mandiant.
Oracle не відповіла на запит TechCrunch із проханням про коментар.
Представник ShinyHunters цього тижня повідомив TechCrunch, що серед зламаних організацій є університети та коледжі.
Хакер продемонстрував повідомлення, яке, за його словами, було надіслано одній з атакованих установ. У ньому йшлося, що зловмисники викрали «сотні тисяч студентських записів, які містять повне ім’я, домашню адресу, телефон, електронну пошту, дату народження, стать, етнічну приналежність, статус зарахування, середній бал (GPA), спеціальність та студентський ID по всіх кампусах», а також інші дані.
PeopleSoft і його клієнти стали черговими жертвами серії хакерських кампаній, у яких група ShinyHunters атакує організації, що використовують одне й те саме вразливе програмне забезпечення.
За останній рік група націлювалася на компанії, які використовують Salesforce і Gainsight, а також програмне забезпечення освітнього гіганта Instructure та інших постачальників.
Виявивши вразливе ПЗ та компанії, що його використовують, хакери намагаються викрасти корпоративні або клієнтські дані, а потім погрожують оприлюднити їх, якщо жертви не заплатять викуп.