Oracle выпустила безопасностное уведомление, в котором сообщается, что ее корпоративное программное обеспечение PeopleSoft содержит критическую уязвимость, которую злоумышленники могут эксплуатировать напрямую через интернет без необходимости в паролях или другой информации для аутентификации. За день до публикации уведомления хакерская группа ShinyHunters заявила, что воспользовалась этой уязвимостью для взлома более 100 организаций, использующих серверы PeopleSoft.
Mandiant подтвердила, что было использовано
Подразделение кибербезопасности Google Mandiant в блоге заявило, что эта вновь обнаруженная уязвимость Oracle является именно той уязвимостью, которую ShinyHunters использовали в масштабных атаках на клиентов PeopleSoft.
Oracle не выпустила исправление вместе с уведомлением. С учетом времени публикации новости, соответствующая уязвимость остается неисправленной. Поскольку производитель не успел применить исправление до обнаружения и эксплуатации уязвимости, такие проблемы обычно называют «нулевыми днями».
Более ста организаций получили предупреждение
Mandiant сообщила, что уведомила более 100 глобальных организаций о необходимости ограничить доступ к потенциально уязвимым системам. Большинство из этих организаций расположены в США, примерно две трети — из сферы высшего образования.
- Количество уведомленных институциональных клиентов: более 100
- Основные регионы распространения: в основном США
- Доля студентов вузов: около двух третей
Это в целом соответствует предыдущим заявлениям ShinyHunters. Члены организации на этой неделе сообщили TechCrunch, что часть жертв — университеты и колледжи. Mandiant также заявила, что некоторые организации успешно остановили атаку или устранили уязвимость, однако другие были скомпрометированы, и похищенные данные затем появились на сайте утечек ShinyHunters.
Целью атаки являются пользователи программного обеспечения
В отчете упоминается, что ShinyHunters в течение последнего года нацеливалась на несколько программных провайдеров и их клиентов, включая организации, использующие продукты Salesforce, Gainsight и образовательной компании Instructure.
Частой практикой является сначала поиск программного обеспечения с уязвимостями и соответствующих пользователей, затем кража данных компании или клиентов и последующее вымогательство денег у жертв угрозой публикации данных. В начале этого года Instructure сообщила, что после двух взломов своих систем компания выплатила деньги хакерам.