Oracle опублікувала попередження про безпеку, в якому повідомляється, що її корпоративне програмне забезпечення PeopleSoft містить критичну вразливість, яку зловмисники можуть експлуатувати безпосередньо через інтернет, не вимагаючи інформації про автентифікацію, такої як паролі. За день до публікації цього попередження хакерська група ShinyHunters заявила, що використала цю вразливість для вторгнення більше ніж у 100 організацій, які використовують сервери PeopleSoft.
Mandiant підтверджує, що було використано
Гуглівське підрозділ з кібербезпеки Mandiant у блозі зазначило, що ця ново виявлена дірка в Oracle — це саме вразливість, яку ShinyHunters використовували під час масштабних атак на клієнтів PeopleSoft.
Oracle не опублікувала патчі разом із повідомленням. За часом публікації звіту, відповідна вразливість залишається незаповненою. Такі проблеми зазвичай називаються «нульовими днями», оскільки виробник не встиг виправити їх до того, як вразливість була виявлена та використана.
Більше ста інституцій отримали попередження
Mandiant повідомила, що надіслала сповіщення понад 100 глобальним організаціям з наголошуванням на обмеженні доступу до потенційно вразливих систем. Більшість із цих організацій розташовані в США, приблизно дві третини — з сектору вищої освіти.
- Кількість інституцій, які отримали сповіщення: більше 100
- Основні регіони розповсюдження: переважно США
- Відсоток вищих навчальних закладів: приблизно дві третини
Це збігається зі ранішими заявами ShinyHunters. Члени організації цього тижня сказали TechCrunch, що частина жертв — це університети та коледжі. Mandiant також повідомила, що деякі заклади вдалося зупинити атаку або виправити вразливість, але інші були скомпрометовані, і відповідні вкрадені дані з’явилися на сайті витоків ShinyHunters.
Ціль атаки — користувачі програмного забезпечення
У матеріалі зазначається, що протягом останнього року ShinyHunters цілилися у кілька програмних провайдерів та їхніх клієнтів, включаючи організації, які використовують продукти Salesforce, Gainsight та навчальної компанії Instructure.
Загально поширеною практикою є спочатку виявлення програмного забезпечення з уразливостями та відповідних користувачів, потім крадіжка даних компанії або клієнтів, а далі вимога викупу з погрозою оприлюднення даних. На початку цього року Instructure повідомила, що після двох втручань у свою систему компанія сплатила гроші хакерам.