Az Oracle sürgős biztonsági figyelmeztetést adott ki a PeopleSoft rendszer felhasználóinak, miután egy kritikus sérülékenységet kihasználva támadók több száz szervert kompromittálhattak világszerte. A támadások mögött feltehetően a ShinyHunters néven ismert kibercsoport vagy annak nevével visszaélő szereplők állhatnak.
A biztonsági hiba a CVE-2026-35273 azonosítót kapta, és az Oracle szerint különösen veszélyes, mivel hitelesítés nélkül, távolról is kihasználható. Sikeres támadás esetén a támadók távoli kódfuttatási jogosultságot szerezhetnek az érintett rendszereken, ami teljes szerverkompromittáláshoz vezethet.
A PeopleSoft rendszereket világszerte számos egyetem, vállalat és állami szervezet használja humánerőforrás-kezelési, pénzügyi és adminisztratív feladatokra. Éppen ezért egy ilyen sérülékenység jelentős mennyiségű érzékeny adatot tehet elérhetővé a támadók számára.
A támadók állítólag több mint 100 szervezetet kompromittáltak, és mintegy 300 PeopleSoft példányból szivárogtathattak ki adatokat. Az érintett szervezetek egy része már zsarolóleveleket kapott, amelyekben váltságdíjat követelnek az ellopott információk nyilvánosságra hozatalának elkerülése érdekében.
A helyzetet súlyosbítja, hogy a sérülékenységet a nyilvános bejelentés előtt már aktívan kihasználták. A Google biztonsági részlegeként működő Mandiant kutatói szerint a támadások május vége és június eleje között zajlottak, még az Oracle hivatalos figyelmeztetése előtt. Ez azt jelenti, hogy a hibát nulladik napi, vagyis zero-day sérülékenységként használták ki.
A sérülékenység a CVSS skálán 9,8-as súlyossági besorolást kapott, ami a lehető legmagasabb kategóriák egyikét jelenti. Az ilyen értékelésű hibák jellemzően azonnali beavatkozást igényelnek az üzemeltetőktől.
Az Oracle már kiadta a javítást az érintett PeopleSoft 8.61 és 8.62 verziókhoz, és minden ügyfelét arra kéri, hogy haladéktalanul telepítse a frissítést. A vállalat szerint a késlekedés jelentősen növeli a sikeres támadás kockázatát.
A Mandiant több mint száz szervezetet értesített, amelyek internetes végpontjai potenciálisan érintettek lehetnek. Az előzetes adatok alapján az áldozatok közel 70 százaléka felsőoktatási intézmény, és a legtöbb érintett szervezet az Egyesült Államokban működik.
A szakértők azt is javasolják, hogy az üzemeltetők vizsgálják át a rendszer- és hozzáférési naplókat a május vége és június eleje közötti időszakra vonatkozóan. Az eset jól mutatja, hogy a kritikus vállalati rendszerek elleni célzott támadások továbbra is az egyik legnagyobb kiberbiztonsági kockázatot jelentik, különösen akkor, amikor a támadók már a javítások megjelenése előtt képesek kihasználni a felfedezett sérülékenységeket.
