ShinyHunters атакуют Oracle PeopleSoft: критическая уязвимость «нулевого дня» скомпрометировала данные сотен тысяч людей по всему миру | Ответ | Studio Global AI
ShinyHunters атакуют Oracle PeopleSoft: критическая уязвимость «нулевого дня» скомпрометировала данные сотен тысяч людей по всему миру
ShinyHunters эксплуатировали CVE 2026 35273, уязвимость с рейтингом 9.8, позволяющую неаутентифицированное удаленное выполнение кода в Oracle PeopleSoft PeopleTools версий 8.61 и 8.62. Злоумышленники похитили персональную информацию, академические данные, HR данные и учетные данные.
What was the ShinyHunters zero-day campaign against Oracle PeopleSoft that breached over 100 organizations, what was the vulnerability (CVE-The ShinyHunters zero-day campaign exploited CVE-2026-35273 to breach over 300 Oracle PeopleSoft instances worldwide.
Промпт ИИ
Create a landscape editorial hero image for this Studio Global article: What was the ShinyHunters zero-day campaign against Oracle PeopleSoft that breached over 100 organizations, what was the vulnerability (CVE-. Article summary: Here is a comprehensive breakdown of the ShinyHunters campaign against Oracle PeopleSoft, based on current reporting.. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Android Headlines / Tech News / Hackers Exploited a Critical Oracle Zero-Day to Breach Over 100 Companies. # Hackers Exploited a Critical Oracle Zero-Day to Breach Over 100 Compani" source context "Oracle Zero-Day Exploited to Breach 100+ Companies" Reference image 2: visual subject "# Oracle PeopleSoft Zero Day Exploited by ShinyHunters. Oracle shipped emergency mitigations on June 11 for CVE-2026-35273 after Shi
openai.com
В начале июня 2026 года мир увидел одну из самых серьезных кибератак года. Группировка ShinyHunters, известная своими крупномасштабными кражами данных с целью вымогательства, использовала критическую уязвимость нулевого дня в популярной ERP-системе Oracle PeopleSoft. Атака, затронувшая более 300 экземпляров системы в более чем 100 организациях по всему миру, стала суровым напоминанием о том, как быстро злоумышленники превращают нераскрытые уязвимости в оружие массового поражения. Основной удар пришелся на университеты и колледжи, чьи данные представляют собой «золотую жилу» для киберпреступников .
В центре кампании — уязвимость под номером CVE-2026-35273. Она получила критическую оценку 9.8 по шкале CVSS v3.1 и позволяет злоумышленнику без какой-либо аутентификации выполнить произвольный код на сервере, полностью захватив над ним контроль . Разберем инцидент по деталям.
Что такое CVE-2026-35273: Техническая сторона вопроса
Уязвимость присутствует в компоненте Updates Environment Management программного продукта Oracle PeopleSoft Enterprise PeopleTools для версий 8.61 и 8.62. По своей сути это проблема подделки серверных запросов (SSRF, классификация CWE-918), которая активируется через обычный HTTP-запрос и не требует ввода логина или пароля . Успешная эксплуатация дыры ведет к полной компрометации сервера — как говорят специалисты, к нарушению конфиденциальности, целостности и доступности системы одновременно .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Каков краткий ответ на вопрос «ShinyHunters атакуют Oracle PeopleSoft: критическая уязвимость «нулевого дня» скомпрометировала данные сотен тысяч людей по всему миру»?
ShinyHunters эксплуатировали CVE 2026 35273, уязвимость с рейтингом 9.8, позволяющую неаутентифицированное удаленное выполнение кода в Oracle PeopleSoft PeopleTools версий 8.61 и 8.62.
Какие ключевые моменты необходимо проверить в первую очередь?
ShinyHunters эксплуатировали CVE 2026 35273, уязвимость с рейтингом 9.8, позволяющую неаутентифицированное удаленное выполнение кода в Oracle PeopleSoft PeopleTools версий 8.61 и 8.62. Злоумышленники похитили персональную информацию, академические данные, HR данные и учетные данные.
Что мне делать дальше на практике?
CISA 12 июня внесла уязвимость в каталог известных эксплуатируемых уязвимостей. Организациям по всему миру необходимо срочно применить внеочередной патч Oracle и проверить системы на признаки компрометации.
В Oracle заявили, что об уязвимости им сообщили исследователи из TrendAI Zero Day Initiative и TrendAI Research . Критическое сочетание факторов — сетевая доступность, низкая сложность атаки, отсутствие необходимости в аутентификации и действиях пользователя — сделало CVE-2026-35273 идеальной мишенью для массовой эксплуатации, как только информация о ней просочилась к злоумышленникам.
Хронология атаки: две недели без защиты
По данным компании Mandiant (подразделение Google), которая отслеживает группировку ShinyHunters под кодовым названием UNC6240, активная фаза эксплуатации уязвимости длилась с 27 мая по 9 июня 2026 года. Все это время уязвимость оставалась «нулевого дня» — у разработчиков из Oracle не было ни публичного бюллетеня, ни готового патча, а атакующие вовсю сканировали интернет в поисках уязвимых серверов.
Oracle выпустила официальное предупреждение и долгожданную заплатку только 10 июня 2026 года. К тому моменту хакеры ShinyHunters уже успели проникнуть в сотни систем . Попав внутрь, они не ограничивались одной точкой входа. Специалисты компании Field Effect выяснили, что злоумышленники комбинировали CVE-2026-35273 с техниками перебора или повторного использования учетных данных, а также, возможно, с другими уязвимостями. Такой подход позволял им продвигаться по внутренней сети, находить наиболее ценные массивы данных и выкачивать их в огромных объемах .
Завершающим аккордом, в соответствии с классическим «почерком» ShinyHunters, становилось не шифрование файлов ради выкупа, а прямое требование денег за неразглашение похищенных данных. Если жертва отказывалась платить, информация грозила оказаться в открытом доступе .
Что именно было украдено
Состав украденных данных варьировался в зависимости от организации, однако можно выделить несколько категорий, повторявшихся из раза в раз:
Персональные данные (ФИО, адреса, контакты) студентов, преподавателей и сотрудников .
Академическая информация — выписки с оценками, данные о зачислении, информация о финансовой помощи. Это напрямую связано с тем, что образовательные учреждения стали главными жертвами .
Кадровые и зарплатные данные из корпоративных систем, включая сведения о соцпакете и банковские реквизиты .
Служебная информация и учетные данные: файлы конфигурации и пароли, которые хакеры использовали для дальнейшего продвижения по сети .
Такой «улов» объясняется ролью PeopleSoft как централизованной ERP-системы, объединяющей операции отдела кадров, бухгалтерию и студенческий документооборот . Один успешный взлом такой системы способен раскрыть многолетние архивы конфиденциальной информации.
Экстренная реакция Oracle и правительства
10 июня 2026 года Oracle нарушила привычный ежеквартальный график обновлений безопасности и опубликовала внеочередное предупреждение для CVE-2026-35273 . В тот же день были выпущены патчи для версий PeopleTools 8.61 и 8.62. Такой шаг, нетипичный для корпорации, подчеркнул крайнюю серьезность ситуации .
В заявлении Oracle говорилось прямо: «Эта уязвимость может быть использована удаленно без аутентификации. В случае успешной атаки она может привести к удаленному выполнению кода». Компания настоятельно призвала всех клиентов установить патч как «первоочередную меру по снижению рисков» .
Спустя два дня, 12 июня 2026 года, американское Агентство по кибербезопасности и защите инфраструктуры (CISA) внесло CVE-2026-35273 в каталог известных эксплуатируемых уязвимостей (KEV). Для госорганов США это означает директивный срок обязательного обновления. Для всего мира — сигнал наивысшей тревоги. Одновременно Канадский центр кибербезопасности выпустил собственную рекомендацию AV26-587 с призывом немедленно следовать инструкциям Oracle .
Срочные меры защиты: что делать прямо сейчас
На основе рекомендаций Oracle, CISA и ведущих экспертных компаний (Rapid7, Field Effect), организациям, использующим PeopleSoft, необходимо безотлагательно выполнить следующие шаги:
Установить внеочередной патч от Oracle для PeopleTools версий 8.61 и 8.62 .
Проверить версию системы. Если используется более старая, неподдерживаемая версия, необходимо сначала выполнить экстренное обновление до поддерживаемого релиза.
Провести технический аудит серверов приложений и баз данных на наличие веб-шеллов, вредоносных скриптов или инструментов для кражи паролей .
Принудительно сменить все пароли, включая учетные записи служб и строки подключения к БД, которые хранятся внутри PeopleSoft или имеют к нему доступ .
Ограничить сетевой доступ. Интерфейсы PeopleSoft (порты 80 и 443) должны быть скрыты из открытого интернета за межсетевым экраном или VPN, если это возможно .
Усилить мониторинг исходящего трафика: нехарактерно большие объемы передачи данных с серверов PeopleSoft на незнакомые внешние IP-адреса — верный признак утечки информации .
Индикаторы компрометации (IoCs)
Сведения об индикаторах продолжают поступать. На данный момент стоит обратить внимание на следующие признаки заражения:
Подозрительные HTTP-запросы к компоненту Updates Environment Management в составе PeopleTools .
Появление веб-шеллов или неопознанных скриптовых файлов на сервере приложений .
Аномальная активность учетных записей — входы с необычных IP-адресов или попытки входа от системных аккаунтов, которые ранее не проявляли активности .
Массовая передача данных с серверов PeopleSoft наружу .
Появление новых учетных записей или запланированных задач в системе .
Также были опубликованы конкретные IP-адреса злоумышленников. Например, компания Pathlock рекомендует проверить логи на предмет соединений с диапазонами 142.11.200[.]186–190, 108.174.202[.]99, 176.120.22[.]24, а также поискать созданный хакерами файл с требованием выкупа, в названии которого присутствует README-IF-….
Школа как мишень: закономерный удар ShinyHunters по образованию
Атака на Oracle PeopleSoft — не случайный выбор ShinyHunters. Эта группировка давно и целенаправленно атакует образовательные учреждения, руководствуясь холодным расчетом:
Богатство хранимых данных. Университеты десятилетиями копят огромные архивы личных дел, медицинских справок и финансовых документов на своих студентов и сотрудников. Вся эта «сокровищница» сконцентрирована в PeopleSoft .
Сложность обновления. ERP-системы в вузах часто дорабатываются под уникальные нужды, а их администрирование редко бывает оперативным. Установка заплаток часто затягивается на долгие месяцы, превращая университеты в легкую добычу для уже «засвеченной» уязвимости .
Отработанная схема шантажа. ShinyHunters не тратят время на развертывание вирусов-вымогателей. Их метод — кража и угроза публикации — особенно эффективен против учреждений, для которых репутационная потеря и разглашение данных студентов фатальнее, чем выплата выкупа .
Поточный метод. Хакеры не выбирают одиночные цели, а сканируют целые секторы экономики. Как только появляется критическая уязвимость вроде CVE-2026-35273, они немедленно «закидывают сеть» максимально широко по всем известным им инсталляциям .
Эта кампания продолжает длинный ряд атак ShinyHunters, включая нашумевший взлом Университета Пердью в 2021 году. И каждый раз сценарий повторяется: уязвимость в системе, медленная реакция жертвы, массовая утечка данных. Прямо сейчас всем владельцам PeopleSoft жизненно необходимо в первую очередь установить «заплатку» от Oracle. Но в долгосрочной перспективе этот инцидент — еще одно напоминание о том, что ключевые бизнес-системы требуют такой же мощной эшелонированной защиты, как и любые другие критически важные интернет-сервисы.
Comments
0 comments