CISA-მ Oracle PeopleSoft-ის ხარვეზი გამოავლინა, რომელიც 100-ზე მეტი სასწავლებლის გასატეხად გამოიყენეს

CISA-მ Oracle-ის ↗0.41% PeopleSoft-ის ხარვეზი თავის ცნობილი ექსპლუატირებული მოწყვლადობების კატალოგში 12 ივნისს შეიტანა მას შემდეგ, რაც ShinyHunters-მა 100-ზე მეტი ორგანიზაცია გატეხა.cisa
Google-ის Mandiant-ის განცხადებით, თავდასხმები 27 მაისიდან 9 ივნისამდე მიმდინარეობდა, მთლიანად Oracle-ის 10 ივნისის რეკომენდაციამდე, ხოლო სამიზნეების 68% უმაღლეს საგანმანათლებლო დაწესებულებებზე მოდიოდა.thehackernews
TechCrunch-ის თანახმად, ჰაკერები აცხადებენ, რომ მოიპარეს სტუდენტების მონაცემები და მსხვერპლებს აშანტაჟებენ, რაც ShinyHunters-ის მიერ განათლების სექტორზე ბოლო კვირების განმავლობაში განხორციელებულ მეორე მასშტაბურ თავდასხმას წარმოადგენს.techcrunch

ShinyHunters-მა Oracle PeopleSoft-ის ნულოვანი დღის მოწყვლადობა გამოიყენა და 100-ზე მეტი უნივერსიტეტი და ორგანიზაცია გატეხა

კიბერდანაშაულებრივმა ჯგუფმა ShinyHunters-მა გამოიყენა კრიტიკული ნულოვანი დღის მოწყვლადობა Oracle PeopleSoft-ში, რათა 27 მაისიდან 9 ივნისამდე 100-ზე მეტი ორგანიზაცია — მათ შორის უმეტესად უნივერსიტეტები — გაეტეხა, იტყობინება Google-ის Mandiant-ის საფრთხეების ანალიტიკური ჯგუფი და მრავალი უსაფრთხოების მკვლევარი.csoonline

მოწყვლადობა და თავდასხმის კამპანია

ხარვეზი, რომელიც იდენტიფიცირებულია როგორც CVE-2026-35273 და აქვს CVSS ქულა 9.8, წარმოადგენს ავთენტიფიკაციის გარეშე დისტანციური კოდის შესრულების მოწყვლადობას PeopleSoft Enterprise PeopleTools-ის Environment Management Hub კომპონენტში. ის გავლენას ახდენს 8.61 და 8.62 ვერსიებზე, არ საჭიროებს შესვლას ან მომხმარებლის ჩარევას და თავდამსხმელებს HTTP-ის საშუალებით ქსელზე წვდომისას სერვერზე სრულ კონტროლს აძლევს.oracle

Google-ის საფრთხეების ანალიტიკურმა ჯგუფმა, რომელიც ShinyHunters-ს UNC6240-ის სახელით აკვირდება, განაცხადა, რომ პოტენციური საფრთხის შესახებ 100-ზე მეტ გლობალურ ორგანიზაციას აცნობა. იდენტიფიცირებული სამიზნეების სამოცდარვა პროცენტი უმაღლესი განათლების სექტორზე მოდიოდა, რომელთა უმეტესობა შეერთებულ შტატებში მდებარეობს. TechCrunch-ის ცნობით, ჰაკერები აცხადებენ, რომ მოიპარეს სტუდენტების მონაცემები, მათ შორის სახლის მისამართები, ტელეფონის ნომრები, ელფოსტა და დაბადების თარიღები; გამოცემამ ასევე დაადასტურა, რომ ShinyHunters-ის წევრმა კამპანია დაადასტურა.techcrunch

თავდასხმა მთლიანად Oracle-ის მიერ პრობლემის აღიარებამდე განხორციელდა. Oracle-მა თავისი უსაფრთხოების რეკომენდაცია 10 ივნისს გამოაქვეყნა, რაც იმას ნიშნავს, რომ ყველა კომპრომეტირებული ორგანიზაცია მაშინ დაზარალდა, როდესაც შესაბამისი განახლება (პაჩი) არ არსებობდა.thehackernews

ფედერალური რეაგირება და შერბილება

12 ივნისს CISA-მ CVE-2026-35273 თავის ცნობილი ექსპლუატირებული მოწყვლადობების კატალოგში შეიტანა, რაც ფედერალურ უწყებებს ხარვეზის აღმოფხვრას ავალდებულებს. Oracle-ის რეკომენდაცია ორგანიზაციებს მოუწოდებს, სრულად გამორთონ Environment Management Hub სერვისი ან ქსელის პერიმეტრზე დაბლოკონ გარე წვდომა `/PSEMHUB/*` და `/PSIGW/HttpListeningConnector` წერტილებზე.securityaffairs

Mandiant-მა გააფრთხილა, რომ მხოლოდ ვებ-აპლიკაციის ფაირვოლის წესებზე დაყრდნობა არასაკმარისია, რადგან ამ კონტროლის გვერდის ავლა შესაძლებელია. ორგანიზაციებს მოუწოდეს, მოეძიებინათ კომპრომეტირების ინდიკატორები, მათ შორის მოულოდნელი JSP ფაილები, გამავალი SMB ტრაფიკი 445 პორტზე და ახლახან შეცვლილი XML ფაილები, რომლებსაც შეუძლიათ გადატვირთვის შემდეგაც უზრუნველყონ სისტემაში დარჩენა.thehackernews

უფრო ფართო კონტექსტი

PeopleSoft-ის კამპანია ShinyHunters-ის მიერ ბოლო კვირების განმავლობაში განათლების სექტორზე განხორციელებულ მეორე მასშტაბურ დარტყმას წარმოადგენს. ჯგუფმა მანამდე მაისში გატეხა Instructure-ის Canvas-ის სწავლების მართვის სისტემა, რამაც ქვეყნის მასშტაბით კოლეჯებში საბოლოო გამოცდები შეაფერხა. უსაფრთხოების ფირმა Pathlock-მა აღნიშნა, რომ თავდამსხმელებმა კომპრომეტირებულ სერვერებზე დატოვეს „სავიზიტო ბარათები“ ფაილების სახით სახელწოდებით „README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT“ და რომ ShinyHunters აგრძელებს დაზარალებული დაწესებულებების შანტაჟს მოპარული მონაცემების გამოქვეყნების მუქარით.highereddive