Уязвимость 0-Day в PeopleSoft: ShinyHunters атакует университеты

Любой, кто администрировал HR-систему или систему управления студенческими данными, знает: PeopleSoft занимает наихудшее положение в инфраструктуре — достаточно глубоко, чтобы хранить все чувствительные записи, и достаточно устарело, чтобы никто из нынешней команды не писал эту интеграцию. Именно эту систему ShinyHunters тихо грабил во второй половине мая. К тому моменту, когда Oracle дал название уязвимости, сайт с утечками уже заполнялся данными.

Что произошло

Уязвимость — CVE-2026-35273, server-side request forgery в пакете Oracle PeopleSoft с оценкой 9.8 из 10. Как сообщает Ars Technica, ShinyHunters эксплуатировал её с 27 мая — более чем за две недели до того, как Oracle зафиксировал проблему. Oracle выпустил временное исправление, но полного патча пока нет. Уязвимость эксплуатируется удалённо — это наихудшее сочетание слов, которое можно прочитать в утреннем уведомлении безопасности.

Команда Mandiant от Google выявила и проанализировала активность. По состоянию на среду, группа атаковала около 300 эндпоинтов примерно в 100 организациях. Около 68 процентов жертв работают в сфере высшего образования. Университет Ноттингема подтвердил взлом и то, что «значительный» объём студенческих данных оказался у злоумышленников. ShinyHunters опубликовал гигабайты предположительно ноттингемских данных на своём сайте утечек, чтобы оказать давление.

По меньшей мере одна организация подверглась вымогательству с целью скрыть похищенные данные, и Google подтвердил, что жертвы получают требования. В Tuesday один исследователь отметил, что группа раскрыла директории, указывающие на продолжение атак на PeopleSoft, и даже оставила доступным промежуточный сервер со своими инструментами. Именно это дало Mandiant возможность получить столь чёткое представление о цепочке атаки. На DLS заявлено о 48 ГБ данных, полученных от одной жертвы, — это не дамп одной таблицы. Это месяцы записей, вложений и, вероятно, резервных копий.

ShinyHunters действует как минимум с 2019 года. Среди прошлых жертв — Ticketmaster через взлом Snowflake, Santander и Salesforce (а через Salesforce — Google и, по имеющимся данным, многие другие). Это не начинающий актор, осваивающий ремесло. Это зрелая операция с работающей моделью монетизации.

Техническая анатомия атаки

SSRF — тихий убийца корпоративных веб-стеков. OWASP включает его в рейтинги уже несколько лет, и причина именно в том, что разыгралось здесь. Атакующему не нужно выполнять код на сервере. Он убеждает доверенный сервер делать запросы от его имени — во внутренние системы, которые этому серверу доверяют. В типичном развёртывании PeopleSoft такой доверенный сервер располагается рядом с уровнем приложений WebLogic, планировщиком процессов, внутренними базами данных и провайдером идентификации, связывающим SSO воедино.

Bash-скрипт, оставленный в промежуточной среде, рассказывает всю историю. Атакующие сопоставили конфигурации PeopleSoft, просмотрели планировщик процессов и извлекли XML-конфиги WebLogic. Это классическая разведка: определить, где хранятся данные, где аутентифицируются сервисные аккаунты, что доступно с скомпрометированного хоста. Ничего из этого не требует эксплуатации ядра. Это требует лишь готовности сервера получать произвольные URL — что и является SSRF по определению.

Эксфильтрация была аккуратной. Данные сжимались с помощью zstd — быстро и с небольшим объёмом артефактов — затем передавались через исходящее SSH-соединение на 176.120.22.24, тот же IP-адрес, на котором размещён сайт утечек ShinyHunters. Никаких хитрых DNS-туннелей, никакого domain fronting. Просто SSH-эгресс на известный вредоносный IP. Это говорит кое-что неудобное о жертвах: исходящий SSH до произвольных интернет-хостов, судя по всему, был разрешён с уровня PeopleSoft. В производственных средах, которые я видел, этот путь эгресса является единственным наиболее распространённым пробелом на устаревших серверах приложений — потому что никто не хочет быть тем инженером, который сломал пятнадцатилетний пакетный процесс, ужесточив фаервол.

Моя оценка: оценка серьёзности 9.8 — почти отвлекающий манёвр. Настоящий урок — в операционной модели. Две недели эксплуатации до признания со стороны вендора, половина патча и политика эгресса, позволяющая 48 ГБ данных покинуть систему через SSH. CVE — это искра. Топливо уже было сложено.

Кто пострадал больше всего

Сфера высшего образования пострадала сильнее всего — и это не случайно. Университеты управляют обширными инсталляциями PeopleSoft для студенческих записей, HR и финансов, нередко с небольшими командами безопасности и циклами закупок, измеряемыми семестрами. Они также хранят именно те данные, которые так любят вымогатели: имена, даты рождения, документы о финансовой помощи, иммиграционные бумаги. 68-процентная концентрация красноречива. ShinyHunters знал, где находятся уязвимые цели, и направился туда первым делом.

Но радиус поражения не ограничивается доменами .edu. PeopleSoft широко распространён в регулируемых отраслях: финансовые услуги, системы здравоохранения, крупные работодатели государственного сектора. Любая из них, работающая на той же уязвимой версии сборки, находится в одном Shodan-запросе от того, чтобы стать следующей жертвой. Команды, с которыми я работал в финтехах, как правило, используют PeopleSoft для внутреннего HR, пока клиентский стек получает всё внимание с точки зрения безопасности. Угадайте, в какой из них хранятся домашние адреса и банковские реквизиты руководителей.

Для советов директоров и CTO следующие 90 дней выглядят так. Юридический отдел потребует письменного подтверждения статуса раскрытия данных. Страховщики запросят доказательства дат развёртывания мер по снижению рисков. Регуляторы в юрисдикциях с правилами уведомления об утечках (GDPR, законы штатов США, отраслевые банковские правила) будут отсчитывать сроки реагирования с 27 мая, а не с даты вашего обнаружения. Если вы не можете доказать, что не подверглись эксплуатации в этот период, возможно, придётся исходить из того, что подверглись.

Неудобный вывод: взлом 100 организаций с атакой на 300 эндпоинтов свидетельствует о том, что у атакующих был рабочий сканер и список. Любой, кто запускал публично доступный экземпляр PeopleSoft, должен исходить из того, что его зондировали. Вопрос в том, сработал ли SSRF до того, как было применено временное исправление.

Руководство для команд безопасности

Относитесь к этому как к активной эксплуатации и действуйте на этой неделе. Mandiant и Rapid7 публикуют индикаторы компрометации. Получите их, загрузите в свой SIEM и выполните ретроспективный поиск начиная с 27 мая. Не ждите полного патча от Oracle, прежде чем применять временное исправление. Половина решения лучше, чем ничего, когда злоумышленник уже в здании.

Конкретные действия:

• Немедленно примените временное исправление Oracle для CVE-2026-35273 на каждом экземпляре PeopleSoft — как внутреннем, так и внешнем. Проверяйте CISA KEV на предмет обновлений статуса.
• Заблокируйте исходящий SSH и произвольный эгресс с уровней приложений PeopleSoft. Добавьте в белый список только те назначения, которые действительно нужны вашим пакетным задачам. Да, что-то сломается. Устраните это по мере необходимости.
• Выполните поиск исходящих соединений с 176.120.22.24 и архивов, сжатых zstd, в временных директориях на хостах PeopleSoft.
• Проведите аудит XML-конфигов WebLogic и планировщика процессов на предмет учётных данных и токенов сервисных аккаунтов. Смените всё, что было доступно с уровня приложений.
• Извлеките журналы доступа к веб-уровню PeopleSoft начиная с 27 мая и найдите аномальные паттерны исходящих запросов, характерные для SSRF-зондирования.

Для разговора с CTO: это момент пересмотреть, должны ли устаревшие корпоративные приложения находиться в том же сетевом сегменте, что и современный стек. PeopleSoft никуда не денется в большинстве компаний. Сетевая изоляция, строгий контроль эгресса и серьёзная дорожная карта по устареванию наиболее рискованных модулей — единственные долгосрочные ответы. Один плохой SSRF не должен иметь возможность добраться до вашей утечки данных в виде 48-гигабайтного zstd-архива.

Ключевые выводы

• CVE-2026-35273 — это SSRF с оценкой 9.8 в Oracle PeopleSoft, эксплуатируемый в реальных атаках с 27 мая и до сих пор лишь частично исправленный.
• ShinyHunters атаковал около 300 эндпоинтов в 100 организациях, 68 процентов из которых работают в сфере высшего образования; зафиксировано как минимум одно требование о выкупе.
• Цепочка атаки была незамысловатой: SSRF, разведка конфигов PeopleSoft и WebLogic, сжатие zstd, эксфильтрация по SSH на 176.120.22.24.
• Контроль исходящего эгресса на устаревших уровнях приложений — самая дешёвая мера защиты, которую вы ещё не применяете. Исправьте это на этой неделе.
• Если вы запускали публичный PeopleSoft с 27 мая до даты применения временного исправления, предположите, что вас зондировали. Ведите поиск в прошлое, а не только патчируйте вперёд.