Oracle предупредила корпоративных клиентов о критической уязвимости в PeopleSoft

Организация Oracle предупредила корпоративных клиентов о наличии критической уязвимости в программном обеспечении PeopleSoft, используемом для управления заработной платой и персоналом.

Организация опубликовала предупреждение о безопасности после того, как хакерская группа ShinyHunters заявила о взломе более 100 организаций, использующих серверы PeopleSoft.

Mandiant, подразделение безопасности, принадлежащее Google и занимающееся расследованием кибератак, предупредило в своём блоге, что новая уязвимость Oracle — это та же самая сбой, которую группа ShinyHunters использует в хакерской кампании, направленной на клиентов PeopleSoft.

Oracle пока не выпустила патч для этой уязвимости, а лишь заявила, что ошибка может быть использована через Интернет без необходимости аутентификации, в частности, пароля. Технологический гигант рекомендовал клиентам, использующим программное обеспечение PeopleSoft, использовать свои меры по предотвращению её эксплуатации.

В Mandiant также уведомили более 100 глобальных организаций, большинство из которых находятся в США, чтобы ограничить доступ к их потенциально уязвимым системам. Группа по кибербезопасности заявила, что приблизительно двух третей этих организаций относятся к сегменту высшего образования.

Ранее в ShinyHunters заявили о взломе серверов Oracle PeopleSoft более чем в 100 организациях. В большинстве случаев это университеты. Атаки были нацелены как на облачные, так и на локальные экземпляры Oracle PeopleSoft у клиентов. Они получали требования о вымогательстве.

В ShinyHunters утверждают, что используют «цепочку гаджетов» со старыми уязвимостями для проведения атак, успех эксплуатации которых может зависеть от конфигурации экземпляра.

В мае гигант в сфере образовательных технологий Instructure сообщил об утечке данных, в итоге которой ShinyHunters похитили личную информацию студентов, включая их имена, адреса электронной почты и сообщения между учителями и учениками. Были украдены информация почти из 9000 школ по всему миру, которые содержали информацию о 231 млн человек.

Впоследствии в Instructure уплатили выкуп хакерам, которые угрожали опубликовать 3,5 ТБ данных учащихся. Сумма выкупа не разглашалась.