Google-მა დაადასტურა, რომ ShinyHunters-მა მონაცემების მოსაპარად Oracle PeopleSoft-ის zero-day მოწყვლადობა გამოიყენა

Google-ის Mandiant-მა დაადასტურა, რომ ShinyHunters-მა გამოიყენა CVE-2026-35273, კრიტიკული PeopleSoft-ის ხარვეზი, რომელიც 9.8 ქულით ფასდება, როგორც zero-day 27 მაისიდან 9 ივნისამდე.securityweek
ნოტინგემის უნივერსიტეტმა დაადასტურა კიბერშეტევა, რომელმაც დაახლოებით 454 600 ელფოსტის მისამართი, პასპორტის მონაცემები, ფინანსური ინფორმაცია და სხვა პირადი ჩანაწერები გამოააშკარავა.theregister
Oracle ↗0.41%-მა გამოუშვა შემარბილებელი ზომები, მაგრამ არა სრული პატჩი, და მოუწოდა ორგანიზაციებს, დაუყოვნებლივ გამორთონ ან დაბლოკონ დაუცველი PeopleSoft-ის ბოლო წერტილები.securityweek

ShinyHunters-მა Oracle PeopleSoft-ის zero-day მოწყვლადობა გამოიყენა და 100-ზე მეტი ორგანიზაცია დააზიანა

ჰაკერულმა ჯგუფმა ShinyHunters-მა გამოიყენა კრიტიკული zero-day მოწყვლადობა Oracle PeopleSoft-ში, რათა მაისის ბოლოსა და ივნისის დასაწყისში 100-ზე მეტი ორგანიზაცია დაეზიანებინა. შეტევის შედეგად ყველაზე მეტად უნივერსიტეტები დაზარალდნენ, სადაც ასობით ათასი სტუდენტის ჩანაწერი გასაჯაროვდა, სანამ Oracle-მა საგანგებო გაფრთხილება გამოსცა.

მოწყვლადობა და კამპანია

Oracle-მა 10 ივნისს გამოუშვა საგანგებო უსაფრთხოების გაფრთხილება CVE-2026-35273-ისთვის, რაც არის კოდის დისტანციური შესრულების ხარვეზი PeopleSoft Enterprise PeopleTools-ის 8.61 და 8.62 ვერსიებში და აქვს CVSS ქულა 9.8. მოწყვლადობა, რომელიც Updates Environment Management კომპონენტში მდებარეობს, არ საჭიროებს ავთენტიფიკაციას და მომხმარებლის ჩართულობას — მხოლოდ ქსელურ წვდომას HTTP-ის საშუალებით — სისტემის სრულად კონტროლისთვის.fieldeffect

Mandiant-მა და Google-ის საფრთხეების დაზვერვის ჯგუფმა დაადასტურეს, რომ ShinyHunters-მა, რომელსაც შიდა კლასიფიკაციით UNC6240-ს უწოდებენ, ხარვეზი 27 მაისიდან 9 ივნისამდე გამოიყენა. Google-მა შეატყობინა 100-ზე მეტ ორგანიზაციას, რომელთა სისტემებიც დაუცველი იყო, მათგან 68% უმაღლესი განათლების სექტორშია, უმეტესობა შეერთებულ შტატებში. ShinyHunters აცხადებს, რომ დაახლოებით 300 PeopleSoft-ის ინსტანციაზე განახორციელა თავდასხმა ღრუბლოვან და ადგილობრივ გარემოებში.thehackernews

Mandiant-ის CTO-მ ჩარლზ კარმაკალმა დაადასტურა ექსპლუატაცია რეალურ გარემოში, ხოლო Trend Micro-ს Zero Day Initiative-მა — რომელსაც Oracle-მა ხარვეზის შესახებ ინფორმაციის მოწოდებისთვის მადლობა გადაუხადა — SecurityWeek-ს განუცხადა, რომ „ამჟამად ხედავენ შეზღუდულ ექსპლუატაციას“ და მიმდინარეობს გამოძიება.securityweek

ნოტინგემის უნივერსიტეტი მსხვერპლთა შორის

ნოტინგემის უნივერსიტეტმა დაადასტურა, რომ ის კომპრომეტირებულთა შორის იყო. „ნოტინგემის უნივერსიტეტი გახდა კიბერინციდენტის მსხვერპლი და ჩვენს სტუდენტთა ჩანაწერების სისტემაში არსებულ მონაცემთა მნიშვნელოვან ნაწილზე წვდომა მოიპოვა ცნობილმა კიბერკრიმინალურმა ჯგუფმა“, — განუცხადა სპიკერმა The Register-ს.theregister

ShinyHunters-მა განაცხადა, რომ მოიპარა დაახლოებით 40 გბ მონაცემი, მათ შორის გადახდების ჩანაწერები, საკრედიტო ბარათების დეტალები და სტუდენტური ფინანსური ინფორმაცია. მონაცემთა გაჟონვის სერვისმა Have I Been Pwned-მა გაჟონილი მონაცემები თავის ბაზაში დაამატა და განაცხადა, რომ დაახლოებით 454 600 უნიკალური ელფოსტის მისამართი გამოაშკარავდა სახელებთან, მისამართებთან, ტელეფონის ნომრებთან, ეთნიკურ კუთვნილებასთან, შეზღუდული შესაძლებლობის სტატუსთან და პასპორტის ნომრებთან ერთად.haveibeenpwned

შემარბილებელი ზომები სრული პატჩის გარეშე

Oracle-ს სრული პატჩი არ გამოუშვია. მისი რეკომენდაცია ფოკუსირებულია Environment Management Hub სერვისის გამორთვაზე მრავალსერვერიან დაყენებებზე ან PSEMHUB აპლიკაციის წაშლაზე ერთსერვერიან გარემოებში. ორგანიზაციებმა, რომლებიც ამას ვერ ახერხებენ, უნდა დაბლოკონ გარე წვდომა /PSEMHUB/* და /PSIGW/HttpListeningConnector ბოლო წერტილებზე პერიმეტრის დონეზე. Mandiant-მა გააფრთხილა, რომ ვებ-აპლიკაციის ფაირვოლის წესები საკმარისი არ არის, რადგან მათი გვერდის ავლით შესაძლებელია შეტევა.thehackernews

უსაფრთხოების მკვლევრები ურჩევენ დაუყოვნებლივ შეამოწმონ ლოგები გარე POST მოთხოვნებზე დაზარალებულ ბოლო წერტილებზე, მოულოდნელ .jsp ფაილებზე ვებ-აპლიკაციების დირექტორიებში და გამავალ SMB ტრაფიკზე 445 პორტზე PeopleSoft-ის ჰოსტებიდან.pathlock