Более 100 организаций могли попасть под атаку через уязвимость Oracle PeopleSoft, а 68% известных целей оказались связаны с высшим образованием. Для IT-команд это неприятное, но полезное напоминание: бэк-офисные системы с payroll, HR и студенческими данными редко попадают в громкие продуктовые презентации, зато в сводки об утечках попадают регулярно.
Как пишет Dark Reading, группировка ShinyHunters использовала zero-day в PeopleTools, базовой платформе для Oracle PeopleSoft, и успела выкачать данные как минимум из части скомпрометированных инсталляций. Речь идет о CVE-2026-35273 с оценкой 9,8 по CVSS: уязвимость позволяла выполнить удаленный код без аутентификации. Проблемный компонент находился в Environment Management Hub, внутреннем сервисе для управления агентами в PeopleSoft-среде. Формально это инфраструктурная деталь, но именно такие детали потом объясняют, почему злоумышленники оказываются внутри без приглашения.
По данным расследования Mandiant и Google Threat Intelligence Group, атаки продолжались с 27 мая по 9 июня 2026 года, то есть еще до выпуска патча Oracle 10 июня. Именно поэтому инцидент и классифицируют как эксплуатацию zero-day: у защитников не было официального исправления, а у атакующих было окно, которым они воспользовались без лишней скромности. ShinyHunters заявила о компрометации более 300 инстансов PeopleSoft в более чем 100 организациях. Google отдельно сообщила, что предупредила свыше 100 организаций с потенциально уязвимыми внешними точками, так что масштаб истории выглядит не как единичный промах одного админа, а как вполне серийная проблема.
Почему удар оказался особенно болезненным именно для университетов, тоже несложно понять. PeopleSoft давно живет в крупных организациях, где нужно вести зарплаты, цепочки поставок, кадровые процессы и, в случае вузов, администрирование студентов. Это не модный SaaS из презентаций для совета директоров, а тяжелая ERP-инфраструктура, которая годами остается в строю просто потому, что на ней завязано слишком многое. Когда дыра появляется в такой системе, злоумышленник получает не просто доступ к серверу, а шанс дотянуться до персональных данных, внутренних процессов и массивов записей, которые потом удобно использовать для шантажа, перепродажи или дальнейшего взлома.
Техническая картина тоже получилась показательной. Исследователи восстановили ход кампании после того, как атакующие по ошибке оставили несколько директорий открытыми в интернете. Для командного управления они использовали MeshCentral, open source-инструмент для удаленного администрирования через браузер, а своих агентов маскировали под сервисы Microsoft Azure. Дальше все шло по знакомому, почти скучному сценарию, если бы не масштаб: разведка через CLI MeshCentral, затем кастомный скрипт credential spraying для SSH, а после этого массовая эксфильтрация данных с использованием алгоритма сжатия Zstandard. Иными словами, никакой магии, только грамотная эксплуатация, обычные инструменты и чужая недооценка внутреннего сервиса, торчащего наружу.
Пока подтвержденным публично пострадавшим остается University of Nottingham в Великобритании. Университет признал потерю «значительного объема данных» из системы студенческих записей и сообщил, что затронуты как нынешние, так и бывшие студенты. Какие именно данные были украдены, вуз не уточнил. На своем leak-сайте ShinyHunters утверждала, что получила более 40 ГБ чувствительной информации по этой жертве. Несколько других организаций также были перечислены в публикациях группировки, но их связь именно с этой кампанией на момент выхода материала не была подтверждена. Это важная оговорка: в киберкриминальном PR цифры любят не меньше, чем в стартап-питчах.
Отдельно интересна реакция специалистов. По словам Дастина Чайлдса из Trend Micro Zero Day Initiative, эксплуатация выглядела «ограниченной», хотя расследование еще продолжалось. Это не повод расслабляться. «Ограниченной» кампания может быть по числу реально подтвержденных эпизодов, но когда речь идет о критической RCE в ERP и о более чем сотне предупрежденных организаций, для CISO и инфраструктурных команд это уже не статистика, а прямой операционный риск. Тем более что исследователи заметили у части жертв web application firewall перед уязвимым сервисом. То есть WAF местами помогал, но сам по себе проблему не решал.
Практический вывод для разработчиков, DevOps и ИТ-руководителей здесь довольно приземленный. Если у вас есть Oracle PeopleSoft, вопрос уже не в том, «внешний» это продукт или «внутренний», а в том, какие сервисы реально доступны извне и насколько быстро вы можете закрывать подобные окна. Oracle выпустила исправление и настоятельно рекомендовала его установить. Mandiant и GTIG, помимо патча, посоветовали отключить EMHub или хотя бы перекрыть к нему внешний сетевой доступ. Исследователи отдельно подчеркнули, что ограничение доступа к этому endpoint не ломает пользовательские browser-сессии PeopleSoft Internet Architecture, то есть аргумент «бизнес встанет» здесь звучит слабее обычного.
Для русскоязычной аудитории эта история важна не потому, что пострадали именно американские университеты, а потому, что она снова показывает главный перекос корпоративной безопасности. Все любят обсуждать защиту фронтовых приложений, облака и генеративный ИИ, но реальные утечки по-прежнему часто начинаются там, где живут старые, тяжелые и вроде бы «внутренние» системы. Уязвимость Oracle PeopleSoft в очередной раз напомнила: если ERP торчит в интернет, хранит критичные данные и годами воспринимается как что-то фоновое, рано или поздно кто-то обязательно решит проверить, насколько это фоновое богатство плохо охраняется.
The post ShinyHunters ударила по вузам через критическую дыру в Oracle appeared first on iTech News.