Oracle выпустила внеплановый патч для уязвимости нулевого дня, позволяющей удаленное выполнение кода (RCE) в продукте PeopleSoft Enterprise PeopleTools, которую активно эксплуатирует кампания ShinyHunters. Уязвимость, отслеживаемая как CVE-2026-35273, может быть использована удаленно без аутентификации, что представляет серьезную угрозу для необновленных сред. «Мы считаем реализацию рекомендованных мер смягчения последствий мерой снижения рисков с высоким приоритетом и настоятельно рекомендуем немедленно принять меры для устранения выявленной уязвимости», — отметили в Oracle. «Oracle всегда рекомендует клиентам оставаться на активно поддерживаемых версиях и без промедления применять все Critical Patch Updates, Critical Security Patch Updates и Security Alerts».
Британский университет подтвердил взлом через Oracle
Уязвимость уже использовалась в развивающейся кибератаке на Ноттингемский университет. Согласно продолжающемуся судебно-медицинскому расследованию, взлом университета произошел через уязвимость в Oracle WebLogic — серверной платформе, используемой для разработки, развертывания и запуска Java-приложений, которая является ключевой частью PeopleSoft Internet Architecture. В беседе с Bleeping Computer ShinyHunters заявили о краже 40 ГБ данных, касающихся 450 000 нынешних и бывших студентов. Предполагается, что данные включают полные имена, даты рождения и контактную информацию, финансовые данные, связанные с обучением, информацию о характеристиках, таких как этническая принадлежность или инвалидность, а также паспортные данные. В заявлении, сделанном ранее сегодня (12 июня), представитель университета сообщил: «Наше расследование этого инцидента продолжается, и это дело стало уголовным расследованием с участием полиции наряду с текущей судебно-медицинской работой. Мы продолжаем тесно сотрудничать со специалистами по кибербезопасности и регулирующими органами, чтобы понять масштаб полученных данных и обеспечить безопасность нашей системы. Мы знаем, насколько тревожна эта ситуация, и как только у нас появится более точная информация для предоставления, мы опубликуем дальнейшее обновление», — добавили они. Университет создал специальную веб-страницу и контактные телефоны для пострадавших лиц. По данным Google Threat Intelligence Group и Mandiant, ShinyHunters начали эксплуатировать CVE-2026-35273 несколько недель назад, 27 мая. GTIG сообщила, что, узнав об активном сканировании и эксплуатации, уведомила более 100 организаций с IP-адресами, коррелирующими с потенциально уязвимыми конечными точками, 68% из которых относятся к сектору высшего образования. Публичные отчеты, полученные через социальную сеть X, впоследствии позволили ее команде составить подробную разбивку кампании ShinyHunters, с которой можно ознакомиться здесь.
Образование под прицелом
С лета 2025 года различные кампании ShinyHunters нацелены на несколько различных секторов, причем группа отдает предпочтение массовому компрометации программных продуктов, используемых аналогичными организациями. За последние пару месяцев коллектив целенаправленно атаковал образовательные учреждения, а атаки на PeopleSoft последовали сразу за компрометацией системы управления обучением Canvas от Instructure в апреле. В том случае ShinyHunters заявили об эксфильтрации 3,65 ТБ данных, включающих 275 миллионов записей почти из 9000 различных учреждений. Опасность раскрытия крайне конфиденциальных данных, касающихся детей и студентов, заключается не только в положении, в котором оказались жертвы ShinyHunters, но и в потенциале для других злоумышленников проводить персонализированные последующие атаки на отдельных лиц. Кевин Найт, генеральный директор Talion, заявил: «Теперь, когда эти данные скомпрометированы, студенты и выпускники должны проявлять бдительность в отношении фишинговых атак, поскольку это, вероятно, будет путем, по которому атакующие попытаются монетизировать инцидент, если их требование о выкупе не будет удовлетворено».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton
