ShinyHunters Oracle PeopleSoft Sıfır-Gün Açığını Kullanarak 100'den Fazla Kuruma Sızdı

ShinyHunters'ın Eğitim Odaklı Saldırı Dalgası

Google'ın soruşturması, geniş çaplı ve belirli bir sektöre odaklanmış bir operasyonu ortaya çıkardı. ShinyHunters, dünya genelinde 100'den fazla kuruma yayılmış yaklaşık 300 farklı PeopleSoft sunucusunu ele geçirdi . GTIG, aktif saldırı penceresi devam ederken bu kurumlardan 100'den fazlasına proaktif olarak bildirimde bulundu .

Saldırı kampanyası net bir hedef deseni sergiledi. Bilinen kurbanların %68'i yükseköğretim sektöründeki kurumlardı, özellikle kolejler ve üniversiteler; bunların da çoğunluğu Amerika Birleşik Devletleri'nde bulunuyordu .

Saldırganlar, sistemlerde kalıcılık ve kontrol sağlamak için MeshCentral uzaktan yönetim aracını kullandı. Ancak dosya adlarını meshagent64-azure-ops.exe gibi isimlerle meşru Microsoft Azure servisleri gibi gizlediler. Komuta-kontrol altyapıları da azurenetfiles.net alan adını kullanarak yine Azure'u taklit etti . Çalınan veriler daha sonra 9 Haziran 2026'da ShinyHunters'ın veri sızıntısı sitesinde (DLS) yayınlandı .

İlk Resmi Kurban: Nottingham Üniversitesi

Nottingham Üniversitesi, bu saldırı dalgasının kamuoyuna yansıyan ilk resmi kurbanı oldu ve veri ihlalinin boyutlarını gözler önüne serdi. Üniversite, öğrenci kayıt sistemini etkileyen bir siber olay yaşadığını doğruladı ve onlarca gigabayt büyüklüğünde önemli miktarda veriye erişildiğini açıkladı .

Birden fazla kaynaktan gelen raporlar, mevcut ve eski öğrencilere ait 454.600 ila 500.000 arasında kişisel ve akademik kaydın çalındığını gösteriyor . Ele geçirilen veriler ağırlıklı olarak öğrenci ve mezun kayıtlarından oluşuyor; üniversite, personel banka bilgileri ve araştırma verilerinin bu ihlalden etkilenmediğini belirtti . Ev adresleri, telefon numaraları ve doğum tarihleri gibi hassas bilgileri içeren bu veriler, hızla ShinyHunters'ın sızıntı sitesinde yayınlandı ve siber güvenlik platformu "Have I Been Pwned" tarafından indekslendi .

Yama Olmadan Alınabilecek Acil Önlemler

Oracle, 10 Haziran 2026'da planlanmış döngünün dışında (out-of-band) bir güvenlik uyarısı yayınlasa da, bu ilk aşamada tam bir yazılım düzeltmesi değil, geçici çözümler sundu. Google'ın tehdit istihbaratı ekibi, Oracle'ın önerileriyle uyumlu olarak, kurumların savunmasız PeopleSoft sunucularını korumak için aşağıdaki adımları derhal atmasını tavsiye ediyor :

1. EMHub Servisini Devre Dışı Bırakın veya Kaldırın: Birden fazla sunuculu yapılandırmalarda Ortam Yönetim Merkezi Servisi devre dışı bırakılmalı. Tek sunuculu dağıtımlarda ise PSEMHUB uygulamasının tamamen kaldırılması öneriliyor .
2. Çevre Birimlerinde Harici Erişimi Engelle: Ağ güvenlik duvarları veya erişim kontrol listeleri kullanarak /PSEMHUB/* ve /PSIGW/HttpListeningConnector uç noktalarına erişimi kısıtlayın .
3. Erişim Günlüklerini Denetleyin: Güvenlik ekipleri, geçmişte bir ihlal yaşanıp yaşanmadığını tespit etmek için PIA WebLogic erişim günlüklerinde harici IP adreslerinden /PSEMHUB/hub ve /PSIGW/HttpListeningConnector adreslerine yapılan POST isteklerini acilen kontrol etmeli .
4. Web Kabukları (Web Shell) için Tarama Yapın: Saldırganların sisteme yerleştirmiş olabileceği beklenmedik .jsp dosyaları için PeopleSoft dosya sistemini, özellikle /webserv/applications/peoplesoft/PSEMHUB.war/ yolunu inceleyin .
5. Tehdit Göstergelerini (IOC) İzleyin: PSEMHUB dizinleri altında logs, persistantstorage veya scratchpad gibi şüpheli klasörlerin varlığını izleyin. Ayrıca, veri sızdırma faaliyetine işaret edebilecek, PeopleSoft sunucularından dışarıya doğru gerçekleşen olağandışı SMB trafiğini yakından inceleyin .

Bu adımlar kritik öneme sahip geçici önlemlerdir. PeopleTools 8.61 ve 8.62 sürümlerini kullanan kurumların, daha fazla istismar riskini tamamen ortadan kaldırmak için Oracle'ın resmi güvenlik güncellemesini yayınlandığı anda uygulamaya öncelik vermesi gerekiyor .