Hakerska grupa ShinyHunters iskoristila kritičnu ranjivost u Oracle PeopleSoftu, napadnuto više od 100 organizacija
Kibernetička kriminalna grupa ShinyHunters iskoristila je kritičnu ranjivost u Oracle-ovom softveru PeopleSoft kao zero-day napad, kompromitujući više od 100 organizacija, od kojih su dvije trećine iz sektora visokog obrazovanja. Google-ov sigurnosni tim Mandiant objavio je istraživački izvještaj o napadima i obavijestio pogođene organizacije.
Kibernetička kriminalna grupa ShinyHunters iskoristila je kritičnu ranjivost u Oracle-ovom softveru PeopleSoft kako bi kompromitirala više od 100 organizacija širom svijeta, saopštio je Google-ov sigurnosni tim Mandiant. Ranjivost, evidentirana pod oznakom CVE-2026-35273, nosi ocjenu ozbiljnosti 9,8 od 10, što je svrstava među najkritičnije iskorištene ranjivosti ove godine.
Prema Mandiantovim nalazima, ShinyHunters je počeo iskorištavati ranjivost 27. maja, a do srijede je ciljao otprilike 300 pristupnih tačaka koje pripadaju oko 100 organizacija korisnika. Oko 68 posto tih organizacija djeluje u sektoru visokog obrazovanja, a većina se nalazi u Sjedinjenim Američkim Državama.
Ranjivost je tipa SSRF (server-side request forgery), što napadačima omogućava slanje zahtjeva s ranjivog servera prema unutarnjim sistemima ciljane organizacije. Oracle je opisao ranjivost kao daljinski iskorištivu bez potrebe za autentifikacijom te je objavio privremene mjere ublažavanja. Mandiantov izvršni direktor za tehnologiju Charles Carmakal napisao je da zakrpe trebaju uskoro uslijediti, dok The Register navodi da nije jasno je li Oracle već izdao potpunu zakrpu. Google je potvrdio da su žrtve primale zahtjeve za iznudom.
Univerzitet Nottingham u srijedu je potvrdio da je bio žrtva napada, pri čemu su napadači stekli pristup značajnoj količini studentskih podataka. ShinyHunters je na svojoj stranici za curenje podataka objavio gigabajte materijala za koje tvrde da su ukradeni s tog univerziteta. Prema navodima portašparola grupe koje je prenio The Register, ukradeno je 40 GB osobnih podataka i evidencija o plaćanjima koji se odnose na stotine hiljada sadašnjih i bivših studenata.
Mandiant je saopštio da su neke organizacije uspješno blokirale aktivnost ili otklonile ranjivost, dok su druge bile kompromitovane, a ukradeni podaci objavljeni na ShinyHuntersovoj stranici za curenje podataka. Analiza bash skripte pronađene na napadačevom probnom serveru pokazuje da su napadači vršili izviđanje kompromitiranih organizacija, uključujući mapiranje PeopleSoft konfiguracija i konfiguracija WebLogic servera.
ShinyHunters je aktivan najmanje od 2019. godine, a kroz prethodne godine izvršio je niz napada na neke od najvećih kompanija na svijetu. Mandiant i Rapid7 obezbijedili su detaljne pokazatelje kompromitacije i savjetuju sve korisnike PeopleSofta da odmah poduzmu preporučene korake zaštite.