Oracle đã cảnh báo khách hàng vào thứ năm về một lỗ hổng nghiêm trọng trong phần mềm PeopleSoft mà tin tặc đã khai thác để xâm phạm hơn 100 tổ chức. Lỗ hổng CVE-2026-35273 có điểm CVSS là 9,8 và có thể bị khai thác qua internet mà không cần bất kỳ xác thực nào. Oracle chưa phát hành bản vá.
Lời khuyên được đưa ra một ngày sau khi nhóm tội phạm mạng ShinyHunters tuyên bố chịu trách nhiệm về chiến dịch hack hàng loạt. Mandiant của Google xác nhận rằng lỗi mà Oracle tiết lộ chính là lỗi mà ShinyHunters đang khai thác. Mandiant cho biết họ đã thông báo cho hơn 100 tổ chức toàn cầu, hầu hết ở Hoa Kỳ.
Khoảng 2/3 số nạn nhân là các trường đại học và cao đẳng. Một thành viên của ShinyHunters nói với TechCrunch rằng nhóm đã đánh cắp “hàng trăm nghìn hồ sơ sinh viên chứa họ tên, địa chỉ nhà, số điện thoại, email, ngày sinh, giới tính, dân tộc, tình trạng tuyển sinh, điểm trung bình, chuyên ngành và mã số sinh viên.” Đại học Nottingham có tên trong số các tổ chức vi phạm.
💜 của công nghệ EU
Những tin đồn mới nhất từ bối cảnh công nghệ EU, câu chuyện từ người sáng lập thông thái Boris của chúng tôi và một số tác phẩm nghệ thuật AI đáng nghi vấn. Nó miễn phí hàng tuần trong hộp thư đến của bạn. Đăng ký ngay bây giờ!
“Trong khi một số tổ chức đã chặn thành công hoạt động này hoặc khắc phục các lỗ hổng, những tổ chức khác lại gặp phải sự xâm phạm, dẫn đến việc dữ liệu bị đánh cắp được xuất bản trên Trang web Rò rỉ Dữ liệu ShinyHunters,“Mandiant viết. Oracle đã không trả lời yêu cầu bình luận của TechCrunch.
PeopleSoft được các công ty lớn và trường đại học sử dụng để quản lý bảng lương, nhân sự và hồ sơ sinh viên. Lỗ hổng này ảnh hưởng đến PeopleTools phiên bản 8.61 và 8.62. ShinyHunters đã khai thác một chuỗi lỗ hổng cũ và lỗ hổng zero-day để nhắm mục tiêu vào cả phiên bản đám mây và tại chỗ, xâm phạm khoảng 300 máy chủ trên hơn 100 tổ chức.
Cuộc tấn công theo một khuôn mẫu. ShinyHunters đã dành cả năm qua để nhắm mục tiêu vào các tổ chức có chung phần mềm doanh nghiệp dễ bị tấn công. Các chiến dịch trước đây đã tấn công các công ty sử dụng Salesforce, Gainsight và nền tảng giáo dục Instructure. Nhóm xác định lỗ hổng, tìm ra mọi công ty đang chạy phần mềm, đánh cắp dữ liệu và đòi tiền chuộc.
Instruct đã trả tiền cho tin tặc vào đầu năm nay sau khi bị xâm phạm hai lần. ShinyHunters cũng đã xóa trang đăng nhập của các trường học bằng cổng Canvas của Instructure. Chiến dịch PeopleSoft là chiến dịch lớn nhất và vẫn đang tiếp diễn. Oracle khuyến nghị các biện pháp giảm thiểu nhưng chưa cho biết khi nào sẽ có bản vá.
Đối với bất kỳ tổ chức nào đang chạy PeopleSoft, hành động ngay lập tức là áp dụng các biện pháp giảm thiểu của Oracle và hạn chế quyền truy cập qua internet vào các máy chủ PeopleSoft. Bài học rộng hơn là bài học mà ngành phần mềm doanh nghiệp tiếp tục học lại: khi một lỗ hổng zero-day quan trọng tấn công vào phần mềm được hàng trăm tổ chức lớn sử dụng, kẻ tấn công chỉ cần tìm ra nó một lần. AI đang làm cho việc phát hiện lỗ hổng trở nên rẻ hơn. Những người bảo vệ vá những sai sót đó không thể nhanh hơn được. Và các nhóm như ShinyHunters đang công nghiệp hóa việc khai thác mọi cơ hội từ tiết lộ đến sửa chữa.
Nguồn The Next Web