PeopleSoft nulles dienas ievainojamība skar simtiem organizāciju; nozagti gigabaiti datu
Kiberdrošības pētnieki ziņo par aktīvi izmantotu PeopleSoft nulles dienas ievainojamību, kas ļāvusi uzbrucējiem nozagt datus no simtiem organizāciju. Uzbrukumā iesaistīta grupējums ShinyHunters.
Mandiant pētnieki ir atklājuši aktīvi izmantotu nulles dienas ievainojamību Oracle PeopleSoft sistēmās, kas skārusi simtiem organizāciju. Uzbrukuma rezultātā nozagti gigabaiti datu, kas publicēti ShinyHunters datu noplūdes vietnē.
Analizējot uzbrucēju atstāto bash skriptu, eksperti konstatēja, ka iebrucēji veica izlūkošanu apdraudētajās organizācijās, tostarp kartēja PeopleSoft konfigurācijas, skatīja procesu plānotāju un WebLogic servera XML konfigurācijas. Pēc tam viņi izveidoja izejošo SSH savienojumu ar IP adresi 176.120.22.24, kas ir ShinyHunters datu noplūdes vietnes serveris. Nozagtie dati vispirms tika saspiesti, izmantojot zstd rīku.
ShinyHunters datu noplūdes vietne apgalvo, ka no viena upura izdevies iegūt 48 GB datu. Grupējums ShinyHunters darbojas vismaz kopš 2019. gada un ir atbildīgs par daudziem uzbrukumiem lielām kompānijām, piemēram, Ticketmaster (caur Snowflake datu bāzes pārkāpumu), Santander bankai un Salesforce, kā rezultātā cietuši miljoniem cilvēku.
ShinyHunters izmanto dažādas metodes sākotnējai piekļuvei, tostarp mākoņa konfigurācijas kļūdu izmantošanu, programmatūras ievainojamības, OAuth marķieru nozagšanu, piegādes ķēdes uzbrukumus, balss pikšķerēšanu un citus sociālās inženierijas paņēmienus.
Mandiant un Rapid7 ir publicējuši detalizētus kompromitēšanas indikatorus un sniedz ieteikumus PeopleSoft klientiem par tūlītēji veicamajiem soļiem. Ņemot vērā ShinyHunters panākumu līmeni, visiem PeopleSoft lietotājiem būtu ieteicams ņemt vērā šos brīdinājumus.
