Oracle недавно выпустила предупреждение о безопасности для своих корпоративных клиентов, заявив, что в программном обеспечении PeopleSoft компании, используемом для расчета заработной платы и управления человеческими ресурсами, существует серьезная уязвимость безопасности. Киберпреступная группа ShinyHunters заявила, что использует эту уязвимость для запуска крупномасштабной хакерской операции и вторжения в более чем 100 организаций, использующих это программное обеспечение. Предупреждение было выпущено в четверг по местному времени, на следующий день после того, как ShinyHunters заявили, что они взломали системы более чем 100 организаций, использующих серверы PeopleSoft.

Mandiant, компания по кибербезопасности, аффилированная с Google, подтвердила в своем блоге, что уязвимость, которую использует ShinyHunters, представляет собой ту же проблему, что и новая уязвимость, раскрытая Oracle, и цель сосредоточена на группе клиентов Oracle PeopleSoft. В настоящее время Oracle не выпустила исправление, но предупредила в рекомендациях по безопасности, что уязвимость может быть использована удаленно через Интернет, а атаки могут быть запущены без какой-либо аутентификации или пароля, и призвала клиентов, все еще использующих затронутые системы PeopleSoft, немедленно настроить их в соответствии с официальными мерами по снижению риска нападения.

Члены ShinyHunters заявили, что группа вторглась в системы нескольких организаций, атаковав неисправленные серверы PeopleSoft. До того, как Oracle выпустила патч, уязвимость представляла собой типичную уязвимость «нулевого дня», то есть производитель программного обеспечения не успел разработать исправление, когда уязвимость была обнаружена и использована. Мандиант сообщил, что они разослали уведомления более чем 100 организациям по всему миру, чтобы предупредить их о потенциальных рисках в их системах, большинство из которых расположены в Соединенных Штатах, причем на долю университетов и высших учебных заведений приходится около двух третей. В основном это соответствует составу целей атаки, ранее раскрытому ShinyHunters.

В сообщении Mandiant указано, что некоторые организации успешно заблокировали действия хакеров во время атаки или своевременно завершили устранение уязвимостей, но другие организации были фактически скомпрометированы, в результате чего конфиденциальные данные были украдены и опубликованы на веб-сайте утечки данных, которым управляет ShinyHunters. Oracle еще не отреагировала на это крупномасштабное вторжение.

Члены ShinyHunters показали средствам массовой информации сообщение с уведомлением, которое, как они утверждали, было отправлено в университет-жертву, в котором говорилось, что хакеры украли «сотни тысяч студенческих записей» из школьной системы, включая имена студентов, домашние адреса, номера телефонов, адреса электронной почты, даты рождения, пол, этническую принадлежность, статус зачисления, средний балл (GPA), специальности и идентификационные номера студентов. По мере расширения масштабов атаки PeopleSoft и ее клиенты становятся последними жертвами серии вторжений ShinyHunters, нацеленных на тот же тип уязвимого программного обеспечения.

За последний год ShinyHunters неоднократно атаковал предприятия и учреждения, использующие одну и ту же программную платформу для атак. Ранее банда осуществляла вторжения против многих компаний, использующих Salesforce и Gainsight, а также программные услуги, предоставляемые гигантом образовательных технологий Instructure. Как только будет подтверждено, что определенный тип программного обеспечения имеет уязвимости, которые можно использовать, он сосредоточится на сканировании и проникновении в большое количество организаций, использующих это программное обеспечение, краже корпоративных или клиентских данных, а затем угрозах раскрытия данных и требовании выкупа от жертв.

Ранее в этом году Instructure публично признала, что достигла соглашения с хакерами и заплатила им после двух вторжений; В ходе подобных атак ShinyHunters даже подделали страницы входа в систему нескольких школ и злонамеренно «испортили» информационный портал кампуса Canvas, принадлежащий Instructure, который они использовали для демонстрации результатов атаки. В настоящее время, когда уязвимости PeopleSoft обнаруживаются и используются в больших масштабах, эксперты по безопасности предупреждают, что, если предприятия и университеты, которые полагаются на эту систему для ведения основного бизнеса, не примут своевременные официальные меры по смягчению последствий и не развернут исправления как можно скорее, они, скорее всего, станут жертвами следующего раунда утечек данных и атак программ-вымогателей.