Conform avizului Oracle, breșa poate fi exploatată de la distanță, prin internet, fără a fi nevoie de autentificare, cum ar fi o parolă. Aceasta înseamnă că orice atacator cu cunoștințe tehnice medii poate accesa sistemele vulnerabile fără a avea credențiale valide. La momentul redactării acestui articol, Oracle nu a lansat încă un patch oficial pentru această vulnerabilitate, recomandând în schimb clienților să aplice măsuri de atenuare pentru a preveni exploatarea. Această situație este cu atât mai alarmantă cu cât breșa este considerată o „zero-day”, adică o vulnerabilitate descoperită și exploatată înainte ca producătorul să aibă timp să o repare.
Un membru al grupului ShinyHunters a declarat pentru TechCrunch miercuri că grupul a compromis companiile prin exploatarea acestei breșe nepatch-uite în serverele PeopleSoft. Mandiant a confirmat că a notificat peste 100 de organizații globale, majoritatea din Statele Unite, pentru a le restricționa accesul la sistemele potențial vulnerabile. Aproximativ două treimi dintre aceste organizații sunt din învățământul superior, ceea ce confirmă afirmațiile anterioare ale ShinyHunters. „În timp ce mai multe organizații au reușit să blocheze activitatea sau să remedieze vulnerabilitățile, altele au suferit compromiteri, rezultând în publicarea datelor furate pe site-ul de scurgere de date al ShinyHunters”, a scris Mandiant într-un blog post.
Membrul ShinyHunters a spus că unele dintre organizațiile sparte sunt universități și colegii. Hackerul a împărtășit un mesaj pe care l-a trimis uneia dintre școlile victime, în care pretindea că a furat „sute de mii de înregistrări ale studenților, conținând nume complet, adresă de domiciliu, telefon, email, dată de naștere, sex, etnie, statut de înscriere, GPA, specializare și ID student pe toate campusurile”, printre alte date. PeopleSoft și clienții săi sunt cele mai recente victime dintr-o lungă serie de campanii de hacking în care grupul ShinyHunters a vizat organizații care folosesc același software vulnerabil.
În ultimul an, grupul a vizat mai multe companii care utilizează Salesforce, Gainsight și software furnizat de gigantul educațional Instructure, printre altele. Odată ce hackerii identifică software-ul vulnerabil și companiile care îl folosesc, încearcă să fure date corporative sau ale clienților, apoi amenință că le vor publica dacă victimele nu plătesc o răscumpărare. La începutul acestui an, compania de tehnologie educațională Instructure a declarat că a plătit hackerii după ce aceștia au spart sistemele companiei de două ori. Ca parte a campaniei de hacking, ShinyHunters a defăimat paginile de autentificare ale mai multor școli care folosesc popularul portal de informații școlare Canvas al Instructure.
Această vulnerabilitate subliniază riscurile continue la care sunt expuse organizațiile care se bazează pe software moștenit sau nepatch-uit. PeopleSoft, deși este un sistem matur și utilizat pe scară largă, devine o țintă atractivă pentru hackeri din cauza bazei mari de utilizatori și a dificultăților de actualizare. Lipsa unui patch oficial din partea Oracle lasă clienții într-o poziție dificilă, forțându-i să implementeze măsuri temporare care pot să nu fie complet eficiente. În plus, natura „zero-day” a breșei înseamnă că atacatorii au avut un avantaj semnificativ, putând exploata sistemele înainte ca apărătorii să reacționeze.
Pentru organizațiile din învățământul superior, care dețin volume mari de date sensibile ale studenților, impactul poate fi devastator. Furtul de înregistrări personale, cum ar fi adrese, numere de telefon și date demografice, poate duce la furt de identitate, fraudă și pierderea încrederii. De asemenea, costurile de remediere, inclusiv notificarea persoanelor afectate, îmbunătățirea securității și posibilele amenzi pentru încălcarea reglementărilor de protecție a datelor, pot fi substanțiale.
ShinyHunters, cunoscut pentru atacurile sale asupra unor nume mari precum AT&T și Microsoft, demonstrează încă o dată că grupările de hackeri devin din ce în ce mai organizate și mai eficiente în exploatarea vulnerabilităților comune. Campania lor actuală, care vizează un singur software, arată o strategie bine gândită de a maximiza impactul cu un efort minim. Prin concentrarea asupra PeopleSoft, ei pot compromite simultan zeci de organizații, economisind timp și resurse.
În concluzie, acest incident este un semnal de alarmă pentru toate companiile care folosesc software enterprise. Actualizările regulate, monitorizarea atentă a avizelor de securitate și implementarea rapidă a patch-urilor sunt esențiale pentru a preveni astfel de atacuri. De asemenea, colaborarea cu experți în securitate cibernetică și adoptarea unor măsuri proactive, cum ar fi segmentarea rețelei și autentificarea multifactor, pot reduce riscul de exploatare. Până când Oracle va lansa un patch oficial, clienții PeopleSoft trebuie să fie vigilenți și să aplice măsurile de atenuare recomandate pentru a-și proteja datele și sistemele.
