AIO APEX
Security

استغل ShinyHunters ثغرة CVE-2026-35273 لأسبوعين قبل إصدار Oracle للتحديث، مخترقًا أكثر من 100 مؤسسة

The Hacker News
مشاركة:
استغل ShinyHunters ثغرة CVE-2026-35273 لأسبوعين قبل إصدار Oracle للتحديث، مخترقًا أكثر من 100 مؤسسة

أسبوعان بلا تحديث وأكثر من 100 ضحية: ثغرة Oracle PeopleSoft الـ zero-day تتحوّل إلى أكثر حملات ShinyHunters تدميرًا حتى الآن

خلال الفترة الممتدة من 27 مايو إلى 9 يونيو 2026، تنقّلت مجموعة ShinyHunters — التي ترصدها شركة Mandiant التابعة لـ Google تحت المسمّى UNC6240 — بصمت بين منصات PeopleSoft في الجامعات والكليات الأمريكية وما وراءها. ولم تُصدر Oracle أي استشارة طارئة بشأن الثغرة الأساسية، CVE-2026-35273، إلا في 10 يونيو. وقد وقعت كل عملية اختراق خلال تلك الفترة في غياب أي إصلاح متاح لثغرة zero-day.

تحمل الثغرة درجة CVSS بلغت 9.8 من أصل 10. وهي ثغرة Server-Side Request Forgery (SSRF) لا تستلزم أي مصادقة، وتؤثر في Oracle PeopleSoft Enterprise PeopleTools الإصدارَين 8.61 و8.62، فيما يرى الباحثون أن الإصدارات الأقدم غير المدعومة معرّضة بالقدر ذاته. لا يلزم أي اعتماد لتفعيلها — إذ يكفي المهاجم مجرد وصول شبكي عبر HTTP للوصول إلى النقاط المتأثرة والتدرج نحو تنفيذ كود عن بُعد Remote Code Execution.

ما الذي جرى استغلاله وكيف؟

المكوّن المستهدف هو Environment Management Hub الخاص بـ PeopleSoft، والمعروف بـ PSEMHUB. وقد استُهدفت نقطتا وصول بعينهما: /PSEMHUB/hub و/PSIGW/HttpListeningConnector. ولأن هذه الواجهات تُترك أحيانًا مكشوفة على الإنترنت لأغراض إدارية، تمكّنت ShinyHunters من مسحها واختراقها على نطاق واسع دون أي موطئ قدم مسبق داخل شبكات الضحايا.

بعد الدخول، أرست المجموعة ثباتها عبر خادم command-and-control على النطاق azurenetfiles.net — وهو نطاق صُمِّم ليندمج مع بنية Azure NetApp Files الشرعية. وجرى تشغيل الانتشار الجانبي تلقائيًا عبر نصوص shell خاصة بكل ضحية وفق نمط التسمية [victim]_fanout.sh. كما خلّفت المجموعة بطاقة تعريفية في مجلدات PeopleSoft المخترقة: ملف نصي باسم README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT.

أشارت Mandiant إلى أن هذا الهجوم يمثّل تطورًا تكتيكيًا لـ ShinyHunters. فقد بنت المجموعة سمعتها على حملات vishing وسرقة رموز OAuth — أساليب تعتمد على التلاعب بالبشر. أما توظيف ثغرة server-side غير مُرقَّعة في برامج ERP واسعة الانتشار تعمل محليًا، فذلك قدرة من فئة مختلفة كليًا، وقد أسفرت عن نتائج أكبر بكثير.

الحجم والأضرار المؤكدة

بحلول وقت نشر Oracle لاستشارتها، كانت أكثر من 100 مؤسسة قد تعرّضت للاختراق عبر أكثر من 300 نسخة من PeopleSoft. والتوزيع القطاعي لافت: 68 بالمئة من الضحايا في قطاع التعليم العالي، ومعظمها كليات وجامعات أمريكية. لا تزال PeopleSoft راسخةً في أنظمة الموارد البشرية وسجلات الطلاب والأنظمة المالية الجامعية — وهو ما جعل هذه المؤسسات أهدافًا عالية القيمة وضحايا بالغة الأثر في آنٍ واحد.

أكّدت جامعة نوتنغهام تعرّضها للاختراق. وسجّل موقع Have I Been Pwned 455,000 عنوان بريد إلكتروني فريد من البيانات المسرَّبة، تشمل الأسماء والعناوين البريدية وأرقام الهواتف وأرقام جوازات السفر والجنسية ومعلومات الإعاقة. وحساسية هذه البيانات — التي تطال فئات محميّة بموجب GDPR ونظائرها — تعني أن الأفراد المتضررين سيواجهون مخاطر متصاعدة من الاحتيال في الهوية والتصيد الاحتيالي الموجَّه لسنوات مقبلة.

أعلنت ShinyHunters علنًا أن التواصل مع الضحايا لم يبدأ إلا للتو. وينبغي لمؤسسات إضافية أن تتوقع الإفصاح عنها مع تقدّم المجموعة في خط الابتزاز.

أضافت CISA ثغرة CVE-2026-35273 إلى فهرسها Known Exploited Vulnerabilities (KEV) في 12 يونيو، بعد يومين من استشارة Oracle. والوكالات الفيدرالية الخاضعة لتوجيه CISA مُلزَمة بالمعالجة وفق جدول زمني مسرَّع، كما يُشكّل الإدراج في KEV إشارة رسمية للقطاع الأوسع بأن الاستغلال مؤكّد وجارٍ.

ما يجب على المدافعين فعله الآن

أصدرت Oracle تحديثًا للإصلاح. طبِّقه فورًا. وللمؤسسات العاجزة عن التحديث حاليًا، ثمة إجراءان مؤقتان للتخفيف:

  • تعطيل خدمة PSEMHUB كليًا إن لم تكن ضرورية تشغيليًا، مما يزيل سطح الهجوم من جذوره.
  • حجب الوصول الخارجي على محيط الشبكة إلى المسارات /PSEMHUB/* و/PSIGW/HttpListeningConnector. لا تُوجّه هذه النقاط إلى الإنترنت العام تحت أي ظرف.

حذّرت Mandiant صراحةً من أن قواعد فحص جسم طلبات WAF وحدها غير كافية لحجب استغلال هذه الثغرة. والمؤسسات التي اتّخذت من جدران حماية تطبيقات الويب إجراءها الرئيسي دون اتخاذ الخطوات أعلاه ينبغي أن تعدّ نفسها غير محمية حتى تفعل ذلك.

بما يتجاوز التحديث وضوابط الوصول، على المدافعين البحث عن مؤشرات الاختراق IOC المعروفة في بيئاتهم:

  • الاتصالات الصادرة أو استعلامات DNS الموجَّهة إلى azurenetfiles.net
  • نصوص shell على مضيفي PeopleSoft تطابق نمط التسمية [victim]_fanout.sh
  • وجود README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT في أي مجلد من مجلدات PeopleSoft
  • طلبات HTTP غير مألوفة إلى نقطتَي PSEMHUB أو PSIGW في سجلات خوادم الويب والتطبيقات

نظرًا لأن نافذة الاستغلال فُتحت في 27 مايو، فإن أي مؤسسة كانت تشغّل نسخة PeopleSoft متاحة على الإنترنت بالإصداريْن 8.61 أو 8.62 خلال تلك الفترة ينبغي أن تُجري مراجعة شاملة للاستجابة للحوادث، بصرف النظر عمّا إذا رصدت مؤشرات اختراق أم لا. غياب ملف README ليس تأكيدًا لبيئة نظيفة — بل يعني أن ShinyHunters ربما لم تصل بعد إلى مرحلة الابتزاز.

إن تضافر درجة CVSS شبه المثالية وانعدام متطلبات المصادقة وسبق المهاجمين للمدافعين بأسبوعين يجعل CVE-2026-35273 واحدة من أكثر ثغرات المؤسسات تداعيًا في عام 2026. نافذة الإجراء الوقائي أُغلقت. نافذة الاحتواء والاستجابة مفتوحة الآن.

zero-daydata-breachshinyhuntersoraclepeoplesoftcve-2026-35273

Originally reported by The Hacker News. Read the original article for additional details.

View original source
مشاركة:
استغل ShinyHunters ثغرة CVE-2026-35273 لأسبوعين قبل إصدار Oracle للتحديث، مخترقًا أكثر من 100 مؤسسة | AIO APEX