Критическая Уязвимость Peoplesoft: Как Группа Shinyhunters Атакует Крупные Корпорации И Университеты

Ключевые выводы

• Oracle объявила критическую (critical) уязвимость CVE‑2026‑35273 в PeopleSoft, эксплуатируемую без аутентификации.
• Хакерская группировка ShinyHunters использовала эту zero‑day для взлома более 100 организаций, в основном вузов США.
• Пока патч не выпущен, Oracle советует применять временные меры защиты; Mandiant уже уведомил пострадавшие компании.

Oracle заявила, что уязвимость позволяет злоумышленнику выполнить произвольный код через интернет, не вводя пароль. Пока патч не готов, компании вынуждены полагаться на рекомендации по mitigations.

Что случилось: от предупреждения Oracle до массовой атаки

В среду Oracle выпустила официальное сообщение о критической уязвимости в своем флагманском продукте PeopleSoft (CVE‑2026‑35273). В письме говорилось, что баг позволяет атакующему получить доступ к системе через сеть без какой‑либо аутентификации.

На следующий день кибергруппировка ShinyHunters объявила, что уже эксплуатирует эту дырку в более чем 100 организациях, среди которых значительная часть — высшие учебные заведения США.

Группа подтвердила, что использует именно эту уязвимость в своей кампании «mass‑hacking», где цель — собрать персональные данные студентов и сотрудников, а затем вымогать деньги за их неразглашение.

Сразу после публикации ShinyHunters предоставили доказательства взлома: скриншоты, сообщения от жертв и списки украденных записей (имена, адреса, даты рождения, GPA и т.д.).

Технический разбор уязвимости

PeopleSoft — это набор ERP‑модулей, который управляет payroll, HR и другими бизнес‑процессами. Уязвимость относится к слою аутентификации веб‑интерфейса и позволяет выполнить произвольный код, используя специально сформированный HTTP‑запрос.

Ключевые детали:

• Тип уязвимости: Remote Code Execution (RCE) без необходимости входа.
• Класс уязвимости: Zero‑day — у Oracle не было патча на момент раскрытия.
• Эксплуатация: Требуется только доступ к публичному URL PeopleSoft‑сервера.

Поскольку система часто раскрыта наружу (например, для удалённого доступа сотрудников), атака может быть проведена из любой точки мира.

Как ShinyHunters использует уязвимость в своих целях

Группа уже известна по атакам на Salesforce, Gainsight и Instructure. Их стратегия проста: найти популярный продукт, выяснить, где он установлен, и атаковать через известные уязвимости.

В случае PeopleSoft они:

1. Сканируют публичные IP‑адреса на наличие открытых PeopleSoft‑инстанций.
2. Отправляют специально сформированный запрос, который обходит аутентификацию.
3. Получают доступ к базе данных HR, где хранится персональная информация.
4. Экспортируют данные и публикуют часть их на своём «Data Leak» сайте, требуя выкуп.

По оценкам Mandiant, две трети пострадавших организаций — учебные заведения, где данные студентов имеют высокую ценность на черном рынке.

Реакция индустрии: что делают компании сейчас

Oracle пока не выпустила окончательный патч, но предоставила «mitigations»:

• Ограничить доступ к PeopleSoft только из доверенных сетей (VPN, IP‑whitelisting).
• Включить двуфакторную аутентификацию для всех администраторов.
• Обновить все серверные компоненты до последних патчей операционной системы.
• Включить мониторинг подозрительных запросов к URL / psp‑portal.

Большинство университетов уже внедрили эти меры, но часть организаций всё ещё остаётся уязвимой. Mandiant лично уведомил более 100 компаний, помогая им закрыть доступ к потенциально скомпрометированным системам.

Что делать владельцам PeopleSoft уже сегодня

Если в вашей организации работает PeopleSoft, выполните следующие шаги:

1. Проверьте, имеют ли ваши серверы публичный IP‑адрес. Если да — закройте доступ через файрвол.
2. Включите логирование всех запросов к /psp‑portal и настройте алерты на аномальные паттерны.
3. Запустите сканирование уязвимости CVE‑2026‑35273 с помощью официальных скриптов Oracle.
4. Если обнаружена уязвимость, немедленно примените рекомендации по mitigations, описанные в advisory.
5. Разработайте план восстановления в случае компрометации: резервные копии, изоляция систем, оповещение регуляторов.

Помните, что даже после выпуска патча стоит сохранять усиленные меры защиты, так как злоумышленники часто ищут новые пути обхода.

Справка

Oracle Corporation — американская технологическая компания, основанная в 1977 году Ларри Эллисоном, Бобом Майнардом и Эдом Оутсом. На сегодняшний день Oracle известна своими базами данных, облачными сервисами и бизнес‑приложениями, включая PeopleSoft, который компания приобрела в 2005 году.

PeopleSoft — набор ERP‑приложений для управления персоналом, финансов и логистикой. Продукт популярен в крупных корпорациях и учебных заведениях благодаря модульности и гибкой настройке.

ShinyHunters — кибергруппа, действующая с 2023 года, известная широкими атаками на облачные сервисы (Salesforce, Gainsight) и образовательные платформы (Instructure). Их стратегия: использовать известные уязвимости в популярных SaaS‑решениях, вымогать деньги за нераскрытие данных.

Mandiant — подразделение Google, занимающееся расследованием кибератак и реагированием на инциденты. Компания известна своими «Threat Intelligence» отчетами и практикой уведомления пострадавших организаций.

Zero‑day (ноль‑дневка) — уязвимость, о которой поставщик программного обеспечения не знал и поэтому не выпустил исправления к моменту её активного использования злоумышленниками.

Если вы владелец PeopleSoft, действуйте сейчас: закройте открытый доступ, включите MFA и следите за официальными обновлениями Oracle. Пока патч не появился, лучшие защиты — это ограничения сети и постоянный мониторинг.