ShinyHunters هفتهها پیش از انتشار هر رفعی، از آسیبپذیری روز-صفر Oracle PeopleSoft سوءاستفاده کرد
گروه اطلاعات تهدید گوگل و Mandiant تأیید کردهاند که گروه ShinyHunters، که با شناسه داخلی UNC6240 ردیابی میشود، یک آسیبپذیری بحرانی در Oracle PeopleSoft را به مدت تقریباً دو هفته پیش از انتشار هرگونه کاهشی توسط Oracle، به عنوان روز-صفر مورد بهرهبرداری قرار داد. این آسیبپذیری با شناسه CVE-2026-35273 دارای امتیاز CVSS معادل ۹.۸ است و اجرای کد از راه دور بدون احراز هویت را از طریق مؤلفه مدیریت محیط PeopleSoft ممکن میسازد.
Oracle در تاریخ ۱۰ ژوئن یک توصیهنامه اضطراری خارج از چرخه انتشار کرد، اما تا به امروز هیچ وصلهای در دسترس نیست — فقط راهحلهای جایگزین. این شکاف اهمیت دارد چون بهرهبرداری از ۲۷ مه آغاز شده بود که به مهاجمان تقریباً دو هفته دسترسی بدون مقاومت به سیستمهای آسیبپذیر میداد.
چه کسانی آسیب دیدند
گوگل بیش از ۱۰۰ سازمان که آدرسهای IP آنها با نقاط پایانی PeopleSoft احتمالاً در معرض خطر مطابقت داشت را مطلع کرد. از این تعداد، ۶۸ درصد در بخش آموزش عالی فعالیت میکنند و اکثر آنها مستقر در آمریکا هستند. دانشگاه ناتینگهام در انگلستان اولین قربانی تأییدشده عمومی است؛ دادههای دزدیدهشده از این نقض در ۹ ژوئن در سایت افشای داده ShinyHunters منتشر شد.
نحوه عملکرد حمله
بر اساس گزارش Mandiant و GTIG، مهاجمان سرورهای مرحلهبندی حاوی عوامل MeshCentral را که به عنوان نقاط پایانی زیرساخت ابری مشروع جا زده شده بودند، راهاندازی کردند. پس از ورود، دستورهای اداری را اجرا و یک اسکریپت تحرک جانبی سفارشی به نام هر قربانی را مستقر کردند تا از طریق شبکهها گسترش یابند و دادهها را استخراج کنند.
اقدامات فوری مدیران سیستم
نسخههای ۸.۶۱ و ۸.۶۲ از PeopleSoft Enterprise PeopleTools و همچنین برنامههای PeopleSoft Enterprise تحت تأثیر قرار گرفتهاند. توصیهنامه Oracle شامل توصیههای سختسازی و کاهشهای سطح شبکه است که باید فوراً اعمال شوند. گوگل همچنین شاخصهای نقض از کمپین ShinyHunters را منتشر کرده که تیمهای امنیتی میتوانند برای شکار تهدید از آنها استفاده کنند.
Originally reported by SecurityWeek. Read the original article for additional details.
View original source