Oracle опубликовала предупреждение об уязвимости в PeopleSoft. ShinyHunters заявила о серии атак на клиентов. На момент публикации полноценного патча нет: компания просит владельцев серверов применить временные меры защиты и убрать доступ к уязвимым системам из открытого интернета.
Механика взлома
Mandiant подтвердила, что это тот же zero-day. Группа использует его для атак на серверы PeopleSoft. Уязвимость позволяет запускать атаку через интернет без пароля и без другой аутентификации. Для кадровых систем и систем расчёта зарплат это особенно опасно: в них хранятся данные сотрудников, студентов и клиентов.
Киберразведка Google направила уведомления более чем 100 организациям. Большинство из них находится в США. Около двух третей предупреждённых — вузы и колледжи. Mandiant сообщает, что часть клиентов заблокировала атаку или исправила проблему. На других клиентов группа уже напала, а их данные утекли на сайт ShinyHunters.
Одинаковая схема
ShinyHunters уже работала по такой схеме. Среди прежних целей была Salesforce. Группа также работала с Gainsight. Позже в эту схему попала Instructure. Группа ищет один и тот же программный продукт, находит его клиентов, крадёт данные и требует выкуп за отказ от публикации. В этом случае участник группы рассказал TechCrunch, что в утечке — сотни тысяч студенческих записей: имена, адреса, телефоны, электронные адреса, даты рождения, оценки, специальности и идентификаторы.
Что делать клиентам
До выхода полноценного исправления владельцы серверов PeopleSoft должны проверить, доступны ли их системы из интернета. После этого нужно ограничить входящий трафик и применить временные меры защиты Oracle. Для университетов приоритет — быстро отделить кадровые системы от открытого интернета, иначе риск утечек персональных данных останется высоким даже после блокировки отдельных атак.