ShinyHunters, Oracle PeopleSoft Sıfır-Gün Açığını Kullanarak 100'den Fazla Kurumu Sızdırdı
ShinyHunters grubu, Oracle PeopleSoft PeopleTools 8.61 ve 8.62 sürümlerini etkileyen, 9.8 şiddet puanına sahip ve kimlik doğrulaması gerektirmeyen CVE 2026 35273 kodlu uzaktan kod çalıştırma açığını sıfır gün olarak k... Saldırganlar öğrenci kimlik bilgileri, akademik kayıtlar, İK ve maaş bordrosu verileri gibi hass...
What was the ShinyHunters zero-day campaign against Oracle PeopleSoft that breached over 100 organizations, what was the vulnerability (CVE-The ShinyHunters zero-day campaign exploited CVE-2026-35273 to breach over 300 Oracle PeopleSoft instances worldwide.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What was the ShinyHunters zero-day campaign against Oracle PeopleSoft that breached over 100 organizations, what was the vulnerability (CVE-. Article summary: Here is a comprehensive breakdown of the ShinyHunters campaign against Oracle PeopleSoft, based on current reporting.. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Android Headlines / Tech News / Hackers Exploited a Critical Oracle Zero-Day to Breach Over 100 Companies. # Hackers Exploited a Critical Oracle Zero-Day to Breach Over 100 Compani" source context "Oracle Zero-Day Exploited to Breach 100+ Companies" Reference image 2: visual subject "# Oracle PeopleSoft Zero Day Exploited by ShinyHunters. Oracle shipped emergency mitigations on June 11 for CVE-2026-35273 after Shi
openai.com
Haziran 2026'nın başlarında, siber suç grubu ShinyHunters, Oracle'ın yaygın kullanılan kurumsal yazılım paketi PeopleSoft'taki kritik bir açığı hedef alarak yılın en etkili sıfır-gün saldırılarından birini gerçekleştirdi. Resmi bir yama yayınlanmadan önce dünya çapında 100'den fazla kurumu etkileyen saldırı, büyük ölçekli ERP (Kurumsal Kaynak Planlama) sistemlerinin taşıdığı riskleri ve fidye odaklı tehdit aktörlerinin keşfedilmemiş açıkları ne kadar hızlı silahlandırabildiğini bir kez daha gözler önüne serdi.
Kampanyanın merkezinde, CVSS v3.1 puanı 9.8 olan ve hiçbir kullanıcı etkileşimi gerektirmeden kimlik doğrulaması olmadan uzaktan kod çalıştırmaya (RCE) izin veren CVE-2026-35273 güvenlik açığı bulunuyor . Bu yazıda, açığın teknik detaylarını, saldırı zaman çizelgesini, çalınan verileri, Oracle ve ABD Siber Güvenlik ve Altyapı Güvenliği Dairesi'nin (CISA) yanıtlarını ve kurumların şimdi uygulaması gereken pratik adımları inceliyoruz.
Güvenlik Açığı: CVE-2026-35273 Nedir?
CVE-2026-35273, Oracle PeopleSoft Enterprise PeopleTools ürününün Güncelleme Ortamı Yönetimi (Updates Environment Management) bileşeninde bulunuyor ve 8.61 ile 8.62 sürümlerini etkiliyor . Bu açık, HTTP üzerinden kimlik doğrulaması olmadan tetiklenebilen bir sunucu taraflı istek sahteciliği (SSRF - CWE-918) zafiyetidir . Başarılı bir şekilde kullanılması, PeopleSoft sunucusunun tamamen ele geçirilmesine, yani sistemin gizlilik, bütünlük ve erişilebilirlik kontrollerinin saldırgana geçmesine yol açabilir .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "ShinyHunters, Oracle PeopleSoft Sıfır-Gün Açığını Kullanarak 100'den Fazla Kurumu Sızdırdı"?
ShinyHunters grubu, Oracle PeopleSoft PeopleTools 8.61 ve 8.62 sürümlerini etkileyen, 9.8 şiddet puanına sahip ve kimlik doğrulaması gerektirmeyen CVE 2026 35273 kodlu uzaktan kod çalıştırma açığını sıfır gün olarak k...
What are the key points to validate first?
ShinyHunters grubu, Oracle PeopleSoft PeopleTools 8.61 ve 8.62 sürümlerini etkileyen, 9.8 şiddet puanına sahip ve kimlik doğrulaması gerektirmeyen CVE 2026 35273 kodlu uzaktan kod çalıştırma açığını sıfır gün olarak k... Saldırganlar öğrenci kimlik bilgileri, akademik kayıtlar, İK ve maaş bordrosu verileri gibi hassas bilgileri çalarak, özellikle eğitim sektörünü hedef aldı ve verileri yayınlama tehdidiyle fidye talep etti.
What should I do next in practice?
CISA, 12 Haziran 2026'da açığı Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekleyerek federal kurumlara acil yama zorunluluğu getirdi; Oracle ise planlı yama takviminin dışına çıkarak acil güncelleme yayınladı.
Oracle, açığı bildirdikleri için TrendAI Sıfırıncı Gün Girişimi ve TrendAI Araştırma'daki araştırmacılara teşekkür etti . Ağ tabanlı saldırı vektörü, düşük karmaşıklığı, kimlik doğrulama gerektirmemesi ve kullanıcı etkileşimine ihtiyaç duyulmaması gibi kritik özellikler, bu açığı saldırganlar tarafından keşfedildiği andan itibaren kitlesel sömürü için ideal bir hedef haline getirdi.
Saldırı Nasıl Gerçekleşti: Yama Öncesi Zaman Çizelgesi
Google'a bağlı Mandiant, bu kampanyayı UNC6240 olarak takip ettiği ve kamuoyunda ShinyHunters adıyla bilinen gruba atfetti. Mandiant, aktif sömürü dönemini 27 Mayıs 2026 ile 9 Haziran 2026 aralığı olarak tarihlendirdi .
Oracle'ın güvenlik bültenini yayınlayıp 10 Haziran 2026 tarihinde yama sunmasına kadar geçen süre boyunca açık, tamamen bir sıfır-gün olarak kaldı . Bu süre zarfında saldırganlar, internete açık PeopleSoft sunucularını tarayarak güncellenmemiş sistemlere CVE-2026-35273 açığını kullanarak ilk girişlerini yaptı.
Saldırganlar sisteme girdikten sonra, ele geçirilen ağ içinde yatay olarak ilerledi. Field Effect şirketindeki güvenlik araştırmacıları, saldırganların CVE-2026-35273'ü kimlik bilgisi tabanlı teknikler ve muhtemelen ek güvenlik açıklarıyla birleştirerek ihlalin boyutunu en üst düzeye çıkardığını ve değerli veri depolarını tespit ettiğini belirtti . Bu çok aşamalı yaklaşım, ShinyHunters'ın basit bir "vur-kaç" açığının getireceğinden çok daha fazla veriyi sızdırmasına olanak tanıdı.
Verileri sızdırdıktan sonra grup, bilindik yöntemine başvurdu: Kurbanlardan ödeme talep etti ve istekleri karşılanmazsa çalınan bilgileri yayınlamakla tehdit etti . Fidye yazılımı (ransomware) kullanmak yerine bu önce gasp etme taktiği, ShinyHunters operasyonlarının ayırt edici bir özelliğidir.
Hangi Veriler Çalındı?
Çalınan veriler kurban kuruluşa göre değişiklik gösterse de, ihlal edilen sistemler genelinde birkaç yüksek değerli kategori tekrarlandı:
Öğrenci, öğretim üyesi ve personelin kişisel tanımlayıcı bilgileri (PII).
Akademik kayıtlar, kayıt verileri ve mali yardım bilgileri; bu durum mağdurların eğitim sektöründe yoğunlaştığını yansıtıyor .
Kurumsal PeopleSoft dağıtımlarından İK ve maaş bordrosu verileri ile sosyal haklar ve maaş bilgileri .
Saldırganların ele geçirilen ortamda yatay olarak ilerlemek için kullandığı dahili sistem yapılandırma dosyaları ve kimlik bilgileri.
Çalınan verinin geniş kapsamı, PeopleSoft'un İK, finans ve kampüs operasyonları gibi alanlardaki hassas kayıtları tek bir merkezde toplayan bir ERP sistemi olma rolünü yansıtıyor . Tek bir ihlal, yıllarca birikmiş kişisel ve kurumsal veriyi açığa çıkarabilir.
Oracle'ın Olağanüstü Yanıtı
10 Haziran 2026'da Oracle, düzenli üç aylık yama döngüsünün dışına çıkarak CVE-2026-35273 için planlanmamış bir güvenlik uyarısı yayınladı . Şirket aynı gün PeopleTools 8.61 ve 8.62 için yamaları yayınladı ki bu, aktif ve yaygın sömürüyü vurgulayan olağan dışı bir aciliyetti .
Oracle'ın uyarısı netti: "Bu güvenlik açığı, kimlik doğrulaması olmadan uzaktan kullanılabilir. Başarıyla kullanılırsa, uzaktan kod çalıştırmaya neden olabilir" . Şirket, tüm müşterilerine bu yamayı "yüksek öncelikli bir risk azaltma önlemi" olarak uygulama çağrısında bulundu .
CISA Alarm Veriyor
Oracle'ın bülteninden iki gün sonra, 12 Haziran 2026'da, ABD Siber Güvenlik ve Altyapı Güvenlik Dairesi (CISA), CVE-2026-35273'ü Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi . Bu ekleme, ABD federal kurumları için zorunlu yama son tarihlerini tetikledi ve kamu-özel tüm kuruluşlar için bu açığın aktif ve yaygın bir saldırı altında olduğuna dair güçlü bir sinyal oldu.
Kanada Siber Güvenlik Merkezi de 11 Haziran'da AV26-587 numaralı bir uyarı yayınlayarak, aktif sömürü konusunda uyarıda bulundu ve yöneticileri derhal Oracle'ın rehberliğine başvurmaya yönlendirdi . Hükümetlerin koordineli yanıtı, olayın ciddiyetini ve ölçeğini yansıtıyordu.
Acil Önlem Adımları
Oracle, CISA, Rapid7 ve diğer güvenlik satıcılarının rehberliğine dayanarak, PeopleSoft kullanan kuruluşların aşağıdaki adımları gecikmeden atması gerekiyor:
Oracle'ın planlanmamış yamasını derhal uygulayın. Bu, PeopleTools 8.61 ve 8.62 sürümleri için geçerlidir .
Desteklenmeyen sürümleri kontrol edin. Eğer yama kapsamı dışında kalan bir sürüm kullanıyorsanız, yama yapmadan önce desteklenen bir sürüme acil yükseltme planlayın.
Adli bir inceleme yapın. PeopleSoft uygulama ve veritabanı sunucularında web kabuğu (web shell), yetkisiz betikler veya kimlik bilgisi toplama araçlarının belirtilerini arayın .
Tüm kimlik bilgilerini yenileyin. PeopleSoft ortamlarında saklanan veya buradan erişilebilen tüm servis hesapları ve veritabanı bağlantı dizeleri dahil olmak üzere tüm şifreleri değiştirin .
Ağ erişimini kısıtlayın. Mümkünse PeopleSoft HTTP/HTTPS arayüzlerine (80 ve 443 numaralı portlar) internetten erişimi kaldırın veya bunları bir VPN arkasına alın .
Anormal giden veri transferlerini izleyin. PeopleSoft sunucularından kaynaklanan, bilinmeyen harici IP adreslerine yapılan büyük veri transferleri, veri sızdırmanın güçlü bir göstergesidir .
Tehlike Göstergeleri (IoCs)
Soruşturmalar devam ederken, yayınlanmış tehlike göstergeleri (Indicators of Compromise - IoCs) halen gelişme aşamasındadır. Bununla birlikte, ilk raporlardan birkaç kategori ortaya çıkmıştır:
PeopleTools içindeki Güncelleme Ortamı Yönetimi uç noktasını hedef alan yetkisiz HTTP istekleri.
PeopleSoft uygulama sunucularında beliren web kabukları veya beklenmeyen betik dosyaları .
Tanıdık olmayan IP adreslerinden veya nadiren oturum açan servis hesaplarından gelen olağandışı kimlik doğrulama olayları.
PeopleSoft veritabanı sunucularından harici noktalara yapılan büyük boyutlu giden veri transferleri.
Saldırıya uğramış sunucularda yeni oluşturulmuş servis hesapları veya zamanlanmış görevler .
Saldırgan kontrolündeki belirli IP adresleri de yayınlanmıştır; örneğin, Pathlock adlı firma 142.11.200.186–190, 108.174.202.99 ve 176.120.22.24 adreslerinden gelen bağlantıların yanı sıra, kuruluşların PeopleSoft loglarında aramaları gereken README-IF-... adlı bir fidye dosyasını raporlamıştır .
ShinyHunters ve Eğitim Sektörü: Yinelenen Bir Model
Bu Oracle PeopleSoft kampanyası, ShinyHunters için bir istisna değil. Grubun, birkaç stratejik faktörün yönlendirdiği, eğitim hedeflerine yönelik iyi belgelenmiş bir tercihi bulunuyor:
Zengin ve toplu veri kümeleri: Üniversiteler ve kolejler, yüz binlerce kişiye ait onlarca yıllık kişisel, akademik ve mali veriyi birleştiren devasa PeopleSoft dağıtımları kullanır .
Yavaş yama döngüleri: Yükseköğretim kurumları, sıklıkla tutarsız ve gecikmeli güncelleme takvimlerine sahip, yoğun şekilde özelleştirilmiş PeopleSoft ortamları kullanır. Bu, bir güvenlik açığı silahlandırıldığında onları kolay hedefler haline getirir .
Fidye yazılımı değil, gasp: ShinyHunters, fidye yazılımı dağıtmak yerine veri hırsızlığı ve gasp odaklı çalışır. Bu model, çalınan veriler ödeme yaptıracak kadar hassas olduğunda yüksek getiri sağlar .
Kitlesel fırsatçı tarama: Grup, tek tek yüksek değerli hedefleri seçmek yerine tüm sektörleri geniş çapta tarar. Bu teknik, CVE-2026-35273 gibi kritik bir açık ortaya çıktığında etki alanlarını en üst düzeye çıkarır .
Haziran 2026 saldırısı, ShinyHunters'ın milyonlarca kaydı çalıp karanlık web forumlarında sattığı önceki üniversite ve eğitim teknolojisi platformlarına yönelik saldırılarını takip ediyor. PeopleTools'taki bir sıfır-gün RCE açığının, kalıcı güvenlik açıkları olan bir kurban sektörüyle birleşimi, yıkıcı derecede etkili oldu.
Maruziyetini değerlendirmeye devam eden kuruluşlar için acil öncelik, yama uygulamasıdır. Bunun ötesinde, bu olay, büyük ölçekli ERP platformlarının, internete açık herhangi bir kritik hizmetle aynı katmanlı savunmalara, izleme ve hızlı müdahale yeteneğine ihtiyaç duyduğunu hatırlatmaktadır.
Oracle PeopleSoft Breached by The ShinyHunters Data Theft Attack
Comments
0 comments