Nội dung bài viết
Lỗ hổng trong phần mềm PeopleSoft do Oracle sở hữu cũng rất nghiêm trọng.
Các nhà nghiên cứu cho biết, một trong những nhóm ransomware hoạt động tích cực nhất thế giới đã khai thác lỗ hổng nghiêm trọng trong bộ phần mềm PeopleSoft của Oracle và sử dụng nó để nhắm mục tiêu vào khoảng 100 khách hàng và tống tiền ít nhất một trong số họ phải trả tiền để đổi lấy việc không rò rỉ dữ liệu bị đánh cắp.
Nhóm, được theo dõi với tên ShinyHunters, đã khai thác lỗ hổng PeopleSoft trong hơn hai tuần trước khi Oracle gắn cờ nó.
CVE-2026-35273, lỗ hổng được theo dõi, có xếp hạng mức độ nghiêm trọng là 9,8/10, khiến lỗ hổng zero-day trước đây trở thành một trong những lỗ hổng nghiêm trọng nhất trong năm bị khai thác.
Nhóm bảo mật Mandiant của Google cho biết đây là SSRF (giả mạo yêu cầu phía máy chủ), một lỗ hổng cho phép kẻ tấn công gửi yêu cầu từ một máy chủ nhạy cảm đến các hệ thống được tổ chức mục tiêu sử dụng.
Oracle cho biết SSRF có thể bị khai thác từ xa và công ty đã đưa ra biện pháp giảm thiểu tạm thời nhưng vẫn chưa vá lỗ hổng hoàn toàn. Google xác nhận nạn nhân đang nhận được yêu cầu tống tiền.
Đại học Nottingham đã xác nhận hôm thứ Tư rằng họ là nạn nhân của một vụ hack khiến một lượng tài sản “đáng kể” bị mất. dữ liệu học sinh vào tay kẻ đe dọa.
Xác nhận được đưa ra sau khi ShinyHunters tuyên bố trường đại học là một trong những nạn nhân gần đây của nó và công bố hàng gigabyte dữ liệu mà họ tuyên bố đã đánh cắp trong vụ hack. Mandiant cho biết ShinyHunters đã khai thác lỗ hổng này kể từ ngày 27 tháng 5.
Tính đến thứ Tư, nhóm này đã nhắm mục tiêu vào khoảng 300 điểm cuối thuộc 100 tổ chức người dùng. Khoảng 68% các tổ chức hoạt động trong lĩnh vực giáo dục đại học.
Một nhà nghiên cứu cho biết hôm thứ Ba rằng nhóm chịu trách nhiệm đã “tiết lộ một số thư mục tiết lộ mục tiêu liên tục của PeopleSoft”. Những kẻ tấn công cũng để lại một máy chủ dàn chứa các công cụ được sử dụng trong cuộc tấn công.
Mandiant cho biết: “Trong khi một số tổ chức đã chặn thành công hoạt động này hoặc khắc phục các lỗ hổng, những tổ chức khác lại gặp phải sự xâm phạm, dẫn đến dữ liệu bị đánh cắp được xuất bản trên ShinyHunters DLS”.
(DLS là viết tắt của trang web rò rỉ dữ liệu.) Phân tích tập lệnh bash còn sót lại trong môi trường dàn dựng cho thấy những kẻ tấn công đã thực hiện trinh sát trên các tổ chức bị xâm nhập, bao gồm ánh xạ cấu hình PeopleSoft, xem bộ lập lịch quy trình và cấu hình XML của máy chủ WebLogic.
Sau cùng , các tác nhân đe dọa đã thiết lập kết nối SSH gửi đi tới 176.120.22.24, địa chỉ IP lưu trữ DLS của ShinyHunters. Dữ liệu bị đánh cắp lần đầu tiên được nén bằng công cụ zstd.
DLS tuyên bố đã khôi phục được 48GB dữ liệu từ một nạn nhân. ShinyHunters đã hoạt động ít nhất từ năm 2019.
Trong nhiều năm qua, nó đã thực hiện nhiều vụ hack nhằm vào một số công ty lớn nhất thế giới, ảnh hưởng đến hàng triệu người ở hạ lưu.
Một mẫu nhỏ nạn nhân bao gồm Ticketmaster (thông qua vụ vi phạm Snowflake, nơi lưu trữ dữ liệu), ngân hàng lớn nhất Tây Ban Nha, Santander và Salesforce (và thông qua đó là Google và nhiều công ty khác).
ShinyHunters sử dụng nhiều kỹ thuật khác nhau để có được quyền truy cập ban đầu, bao gồm khai thác cấu hình sai trên đám mây và lỗ hổng phần mềm, đánh cắp mã thông báo OAuth, tấn công chuỗi cung ứng, lừa đảo bằng giọng nói và các hình thức kỹ thuật xã hội khác.
Mandiant và Rapid7 đang cung cấp các chỉ số chi tiết về sự thỏa hiệp. Họ cũng đang tư vấn cho khách hàng của PeopleSoft về các bước họ nên thực hiện ngay lập tức.
Với tỷ lệ thành công của ShinyHunters, tất cả người dùng PeopleSoft sẽ thực hiện tốt các cuộc gọi. Ars Technica đã tách tín hiệu khỏi tín hiệu không ise trong hơn 25 năm.
Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin. Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.