ShinyHunters ניצלה פגיעות אפס-יום באורקל PeopleSoft ופרצה למעל 100 ארגונים

אורקל נתנה קרדיט לחוקרים מיוזמת Trend Zero Day ו-TrendAI Research על דיווח הפגיעות . השילוב הקריטי של וקטור תקיפה מבוסס רשת, מורכבות נמוכה, חוסר בצורך באימות ואי-תלות באינטראקציה של משתמש, הפכו את הפגיעות למטרה עיקרית לניצול המוני ברגע שנודע עליה לתוקפים.

כיצד התגלגלה המתקפה: ציר זמן טרם הטלאי

הקמפיין יוחס על ידי Mandiant של גוגל לקבוצה אותה היא מכנה UNC6240, הידועה בציבור בשם ShinyHunters. Mandiant תיארכה את חלון הניצול הפעיל מ-27 במאי 2026 ועד 9 ביוני 2026 .

מכיוון שאורקל לא פרסמה את הודעת האבטחה שלה או שחררה טלאי עד 10 ביוני 2026, הפגיעות נותרה בגדר אפס-יום לאורך כל תקופת הניצול הפעיל . במהלך חלון זה, התוקפים סרקו את האינטרנט בחיפוש אחר מופעי PeopleSoft חשופים והשתמשו ב-CVE-2026-35273 כדי להשיג דריסת רגל ראשונית בשרתים לא מתוקנים.

לאחר החדירה, הקבוצה נעה לרוחב הסביבות שנפרצו. חוקרי אבטחה ב-Field Effect ציינו כי התוקפים שילבו את CVE-2026-35273 עם טכניקות מבוססות-פרטי-גישה וככל הנראה עם פגיעויות נוספות כדי למקסם את היקף הפריצה ולאתר מאגרי מידע יקרי ערך . גישה רב-שלבית זו אפשרה ל-ShinyHunters לחלץ הרבה יותר מידע ממה שהיה מתאפשר בפשיטת "פגע וברח".

לאחר חילוץ המידע, הקבוצה פעלה על פי שיטת הפעולה המוכרת שלה: הם דרשו תשלום מהקורבנות, תוך איום לפרסם את המידע הגנוב אם הדרישות לא ייענו . טקטיקת סחיטה-תחילה זו, במקום פריסת כופרה, היא סימן ההיכר של פעולות ShinyHunters.

אילו נתונים נגנבו

הנתונים הגנובים השתנו מארגון לארגון, אך מספר קטגוריות בעלות ערך גבוה חזרו על עצמן בקרב המופעים שנפרצו:

• מידע אישי מזהה (PII) של סטודנטים, סגל ועובדים .
• רשומות אקדמיות, נתוני הרשמה ומידע על סיוע כספי, המשקפים את הריכוז הגבוה של קורבנות בסקטור ההשכלה .
• נתוני משאבי אנוש ושכר מפריסות PeopleSoft ארגוניות, כולל מידע על הטבות ומשכורות .
• קבצי תצורת מערכת פנימיים ופרטי גישה שבהם השתמשו התוקפים כדי לנוע לרוחב הסביבות שנפרצו .

היקף המידע הגנוב משקף את תפקידה של PeopleSoft כמערכת ERP מרכזית המאגדת רשומות רגישות על פני מחלקות משאבי אנוש, כספים ותפעול הקמפוס . פריצה בודדת עלולה לחשוף שנים של מידע אישי ומוסדי.

תגובת החירום של אורקל

ב-10 ביוני 2026, אורקל חרגה ממחזור הטלאים הרבעוני הקבוע שלה ופרסמה התרעת אבטחה שלא במסגרת המחזור (out-of-band) עבור CVE-2026-35273 . החברה שחררה טלאים עבור PeopleTools 8.61 ו-8.62 באותו היום, צעד דחוף במיוחד שהדגיש את הניצול הפעיל והנפוץ .

הודעתה של אורקל הייתה ישירה: "פגיעות זו ניתנת לניצול מרחוק ללא אימות. אם מנוצלת בהצלחה, פגיעות זו עלולה לגרום לביצוע קוד מרחוק" . החברה הפצירה בכל לקוחותיה להחיל את הטלאי כ"אמצעי להפחתת סיכונים בעדיפות גבוהה" .

CISA מפעילה אזעקה

יומיים לאחר הודעת אורקל, ב-12 ביוני 2026, הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) הוסיפה את CVE-2026-35273 לקטלוג הפגיעויות המנוצלות הידועות (KEV) שלה . הוספה זו הטילה מועדי תיקון מחייבים על סוכנויות פדרליות בארה"ב, ושימשה איתות חזק לכל הארגונים, ציבוריים ופרטיים, שהפגיעות נמצאת תחת מתקפה פעילה ונרחבת.

המרכז הקנדי לאבטחת סייבר גם פרסם את הייעוץ AV26-587 ב-11 ביוני, תוך אזהרה מפני ניצול פעיל והפניית מנהלי מערכות להנחיות אורקל באופן מיידי . התגובה הממשלתית המתואמת שיקפה את חומרת האירוע והיקפו.

צעדי הפחתה מיידיים

בהתבסס על הנחיות מאורקל, CISA, Rapid7 וספקי אבטחה אחרים, ארגונים המפעילים PeopleSoft צריכים לנקוט בפעולות הבאות ללא דיחוי:

1. החילו את טלאי החירום של אורקל על PeopleTools 8.61 ו-8.62 באופן מיידי .
2. בדקו גרסאות לא נתמכות. אם אתם מריצים גרסה מחוץ לטווח הטלאי, תכננו שדרוג חירום למהדורה נתמכת לפני ההטלאה.
3. ערכו סקירה פורנזית של שרתי היישומים ומסדי הנתונים של PeopleSoft לאיתור סימנים של Web Shells, סקריפטים לא מורשים או כלים לגניבת פרטי גישה .
4. החליפו את כל פרטי הגישה המאוחסנים ב-PeopleSoft או נגישים ממנה, כולל חשבונות שירות ומחרוזות חיבור למסד הנתונים .
5. הגבילו גישה לרשת לממשקי HTTP/HTTPS של PeopleSoft (פורטים 80 ו-443) מהאינטרנט ככל שניתן, או הציבו אותם מאחורי VPN .
6. נטרו העברות נתונים חריגות שמקורן בשרתי PeopleSoft – העברות גדולות לכתובות IP חיצוניות לא מוכרות הן אינדיקציה חזקה לחילוץ מידע .

סממני פריצה (IoCs)

סממני הפריצה שפורסמו עדיין מתפתחים ככל שהחקירות נמשכות. עם זאת, מספר קטגוריות של סממנים עלו מדיווחים ראשוניים:

• בקשות HTTP לא מורשות המכוונות לנקודת הקצה של Updates Environment Management בתוך PeopleTools .
• Web Shells או קבצי סקריפט לא צפויים המופיעים בשרתי היישומים של PeopleSoft .
• אירועי אימות חריגים מכתובות IP לא מוכרות או מחשבונות שירות שממעטים להתחבר .
• העברות נתונים גדולות משרתי מסד הנתונים של PeopleSoft ליעדים חיצוניים .
• חשבונות שירות או משימות מתוזמנות חדשים שנוצרו בשרתים שנפרצו .

כמו כן פורסמו כתובות IP ספציפיות בשליטת התוקף – לדוגמה, Pathlock דיווחה על חיבורים מ-142.11.200.186–190, 108.174.202.99, ו-176.120.22.24 – וכן על קובץ כופר בשם README-IF-... שארגונים צריכים לחפש בלוגים של PeopleSoft שלהם .

ShinyHunters וסקטור ההשכלה: דפוס חוזר

הקמפיין נגד Oracle PeopleSoft אינו חריג עבור ShinyHunters. לקבוצה יש העדפה מתועדת היטב למטרות חינוכיות, המונעת ממספר גורמים אסטרטגיים:

• מאגרי מידע עשירים ומרוכזים. אוניברסיטאות ומכללות מפעילות פריסות ענק של PeopleSoft המאגדות עשרות שנים של רשומות אישיות, אקדמיות ופיננסיות של מאות אלפי אנשים .
• מחזורי תיקון איטיים. מוסדות להשכלה גבוהה מריצים לעיתים קרובות סביבות PeopleSoft מותאמות אישית בכבדות, עם קצבי עדכון לא עקביים ומעוכבים, מה שהופך אותן למטרות קלות עבור כל פגיעות שהופכת לנשק .
• סחיטה, לא כופרה. ShinyHunters מתמקדת בגניבת מידע וסחיטה, במקום בפריסת כופרה, מודל עסקי המניב תשואות גבוהות כאשר המידע הגנוב רגיש מספיק כדי להצדיק תשלום .
• סריקה אופורטוניסטית המונית. הקבוצה סורקת בהרחבה על פני סקטורים שלמים, במקום להתמקד במטרות בודדות בעלות ערך גבוה, טכניקה הממקסמת את טביעת הרגל שלה בכל פעם שמתגלה פגיעות קריטית כמו CVE-2026-35273 .

קמפיין יוני 2026 מגיע לאחר מתקפות קודמות של ShinyHunters על אוניברסיטאות ופלטפורמות טכנולוגיות חינוכיות, שבהן הקבוצה גנבה מיליוני רשומות ומכרה אותן בפורומים של הרשת האפלה. השילוב של פגיעות אפס-יום בשרת PeopleSoft ושל סקטור יעד עם פערי אבטחה מתמשכים, הוכיח את עצמו כיעיל בצורה הרסנית.

עבור ארגונים שעדיין מעריכים את החשיפה שלהם, העדיפות המיידית היא תיקון. מעבר לכך, האירוע משמש כתזכורת לכך שפלטפורמות ERP רחבות היקף דורשות את אותן הגנות שכבתיות, ניטור ויכולת תגובה מהירה כמו כל שירות קריטי החשוף לאינטרנט.