Yazılım ve bulut bilişim şirketi Oracle, büyük şirketlerin maaş ve insan kaynakları yönetiminde kullandığı PeopleSoft yazılımında kritik bir güvenlik açığı bulunduğu konusunda müşterilerini uyardı. Uyarı, siber suç örgütü ShinyHunters'ın geniş çaplı bir saldırı kampanyasında bu açığı kullandığını duyurmasından bir gün sonra geldi.
Google'a bağlı olay müdahale ve siber güvenlik şirketi Mandiant, perşembe günü yayımladığı raporda, Oracle'ın PeopleSoft sistemindeki "sıfır gün" (Zero-Day) açığının ShinyHunters ile bağlantılı geniş çaplı siber saldırılarda kullanıldığını açıkladı.
Mandiant, dünya genelinde 100'den fazla kurumu bu saldırılardan etkilenmiş olabilecekleri konusunda bilgilendirdi. Hedef alınan kurumların çoğu ABD'de bulunurken, mağdur kuruluşların üçte ikisinden fazlasını üniversite ve yükseköğretim kurumları oluşturdu.
Saldırıya uğrayan kurumlar arasında bulunan Nottingham Üniversitesi, öğrenci kayıtlarında yer alan "büyük miktarda verinin" ele geçirildiğini açıkladı.
Üniversite sözcüsü, Cybersecurity Dive internet sitesine yaptığı açıklamada şu ifadeleri kullandı:
"Bu konu şu anda adli soruşturma kapsamındadır. Platformun bakımından sorumlu dış kuruluşla birlikte olayı araştırıyoruz ve polis soruşturmasına destek vermeyi sürdüreceğiz."
İlgili bir gelişmede, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), cuma günü söz konusu açığı "Bilinen ve Aktif Olarak İstismar Edilen Güvenlik Açıkları" listesine ekledi.
Ajans, açığın fidye yazılımı saldırılarında kullanıldığını doğruladı ve ABD'deki federal sivil kurumlara açığın kapatılması için pazartesi gününe kadar süre verdi.
Bilgisayar korsanları, 27 Mayıs ile 9 Haziran tarihleri arasında PeopleSoft sunucularını hedef aldı. Saldırılarda, ürünün "Environment Management" (Ortam Yönetimi) bileşeninde bulunan ve uzaktan kod çalıştırılmasına imkân veren CVE-2026-35273 numaralı kritik güvenlik açığı kullanıldı.
Söz konusu açığın risk seviyesi 10 üzerinden 9,8 olarak değerlendiriliyor.
Oracle tarafından yayımlanan güvenlik uyarısında, PeopleTools 8.61 ve 8.62 sürümlerini etkileyen açığın kimlik doğrulaması gerektirmeden uzaktan istismar edilebildiği belirtildi.
Oracle, uyarısında açığı belirli bir saldırı kampanyasıyla ilişkilendirmedi ancak kullanıcıları derhal önlem almaya çağırdı ve yayımlanan tavsiyeleri "yüksek öncelikli risk azaltma tedbirleri" olarak tanımladı.
Mandiant'a göre saldırganlar, kullandıkları altyapıda MeshCentral platformunun özel olarak değiştirilmiş sürümlerini kullandı ve bunları meşru bulut hizmetleri gibi göstermeye çalıştı.
MeshCentral, kullanıcıların bilgisayarları dünyanın herhangi bir yerinden uzaktan yönetmesine olanak tanıyan açık kaynaklı bir platform olarak biliniyor.
Mandiant ayrıca bazı kurumların saldırıları engellemeyi veya açığı kapatmayı başardığını, ancak bazı kurumların sistemlerine sızıldığını ve çalınan verilerin salı günü ShinyHunters'ın veri sızdırma sitesinde yayımlandığını bildirdi.
Censys şirketindeki araştırmacılar, dünya genelinde internete açık şekilde çalışan 40 PeopleSoft sunucusu tespit ettiklerini açıkladı. Araştırmacılar bu sayının ihtiyatlı bir tahmin olduğunu belirtti.
Şirket, 26 Mayıs'ta yaptığı incelemede de benzer sayıda açık sistem bulunduğunu kaydetti.
Öte yandan Halcyon araştırmacıları, bu saldırının ShinyHunters'ın son dönemde yürüttüğü faaliyetlerin bir parçası olduğunu belirtti.
Araştırmacılar ayrıca grubun, Canvas eğitim platformunun geliştiricisi olan Instructure şirketini hedef alan kampanyayla da bağlantılı olduğunu ifade etti.
