PeopleSoft 0-Day Спустошує Університети, поки ShinyHunters Збирає Врожай

Будь-хто, хто працював із системами управління персоналом або студентськими інформаційними системами, знає: PeopleSoft розташований у найгіршому можливому місці — достатньо глибоко в стеку, щоб зберігати всі конфіденційні записи, і достатньо старий, що ніхто в поточній команді не писав цю інтеграцію. Саме цю систему ShinyHunters тихо грабував протягом другої половини травня. Коли Oracle нарешті дав назву помилці, сайт злитих даних уже активно наповнювався.

Що Сталося

Вразливість — CVE-2026-35273, server-side request forgery у пакеті Oracle PeopleSoft із рейтингом 9.8 з 10. Як повідомляло Ars Technica, ShinyHunters експлуатував її з 27 травня — більш ніж за два тижні до того, як Oracle зафіксував проблему. Oracle випустив тимчасове виправлення, але повністю вразливість не усунув. Помилка експлуатується віддалено — це найгірше поєднання слів, яке можна прочитати у вівторковому бюлетені безпеки.

Команда Mandiant від Google виявила та проаналізувала активність. Станом на середу, група атакувала близько 300 точок входу приблизно в 100 організаціях. Близько 68 відсотків жертв працюють у сфері вищої освіти. Університет Ноттінгема підтвердив злом і те, що «значна» кількість студентських даних потрапила до зловмисників. ShinyHunters опублікував гігабайти нібито ноттінгемських даних на своєму сайті витоків, щоб посилити тиск.

Принаймні один клієнт піддався вимаганню з метою утримання викрадених даних в офлайні, і Google підтвердив, що жертви отримують вимоги. У вівторок дослідник зазначив, що група оприлюднила каталоги, які розкривають подальше націлювання на PeopleSoft, і навіть залишила проміжний сервер зі своїми інструментами у відкритому доступі. Саме так Mandiant отримав такий чіткий огляд ланцюжка атаки. Сайт злитих даних заявив про 48 ГБ даних, відновлених з однієї жертви — це не дамп однієї таблиці. Це місяці записів, вкладень і, напевно, резервних копій.

ShinyHunters діє щонайменше з 2019 року. Серед попередніх жертв — Ticketmaster через злом Snowflake, Santander і Salesforce (а через Salesforce — Google та, за повідомленнями, багато інших). Це не новачок, який тільки вчиться. Це зріла операція з робочою моделлю отримання доходу.

Технічна Анатомія

SSRF — це тихий вбивця корпоративних веб-стеків. OWASP роками включає його до своїх рейтингів, і причина — саме те, що відбулося тут. Зловмиснику не потрібно розміщувати код на машині. Він змушує довірений сервер робити запити від його імені до систем, які довіряють цьому серверу. У середовищі PeopleSoft такий довірений сервер, як правило, знаходиться поруч із рівнем додатків WebLogic, планувальником процесів, внутрішніми базами даних і будь-яким постачальником ідентифікації, що з'єднує SSO.

Bash-скрипт, залишений у проміжному середовищі, розповідає всю історію. Зловмисники відобразили конфігурації PeopleSoft, переглянули планувальник процесів і витягли XML-конфіги WebLogic. Це класична розвідка: з'ясувати, де зберігаються дані, де автентифікуються облікові записи служб, що доступне з ураженого хоста. Жодного експлойту ядра для цього не потрібно. Потрібно лише, щоб сервер був готовий отримувати довільні URL-адреси — це і є SSRF за визначенням.

Ексфільтрація була акуратною. Дані стискалися за допомогою zstd — це швидко й дає компактні артефакти — потім передавалися через вихідне SSH-з'єднання на 176.120.22.24, ту саму IP-адресу, де розміщений сайт злитих даних ShinyHunters. Жодного вишуканого DNS-тунелювання, жодного domain fronting. Просто SSH-трафік на відому шкідливу IP-адресу. Це говорить дещо неприємне про жертв: вихідний SSH до довільних інтернет-хостів, очевидно, дозволявся з рівня PeopleSoft. У виробничих середовищах, які я бачив, цей шлях ексфільтрації — найпоширеніша прогалина на застарілих серверах додатків, тому що ніхто не хоче бути інженером, який зламав 15-річний пакетний процес, посиливши міжмережевий екран.

Моя думка: рейтинг 9.8 — майже відволікаючий маневр. Реальний урок — операційна модель. Два тижні експлуатації до визнання з боку вендора, половина патча та стан вихідного трафіку, який дозволяє 48 ГБ піти через SSH. CVE — це іскра. Паливо вже було підготовлено.

Хто Постраждає

Вища освіта постраждала найбільше — і це не випадково. Університети підтримують великі інсталяції PeopleSoft для студентських записів, управління персоналом і фінансів, часто з невеликими командами безпеки й циклами закупівель, що вимірюються семестрами. Вони також зберігають саме той тип даних, який так полюбляють вимагачі: імена, дати народження, документи про фінансову допомогу, імміграційні папери. Концентрація 68 відсотків красномовна. ShinyHunters знали, де знаходяться легкі цілі, і першими пішли туди.

Але радіус ураження не обмежується доменами .edu. PeopleSoft широко поширений у регульованих підприємствах — включно з фінансовими послугами, системами охорони здоров'я та великими роботодавцями держсектору. Будь-хто з них, хто використовує ту саму вразливу збірку, знаходиться на відстані одного запиту Shodan від того, щоб стати наступним. Команди, з якими я працював у фінтехах, як правило, запускають PeopleSoft для внутрішнього HR, тоді як клієнтський стек отримує всю увагу з точки зору безпеки. Здогадайтеся, який із них зберігає домашні адреси та банківські реквізити керівників.

Для рад директорів і CTO наступні 90 днів виглядатимуть так. Юридичний відділ захоче письмове підтвердження статусу ризику. Страховики запитають докази дат розгортання засобів пом'якшення. Регулятори в юрисдикціях із правилами сповіщення про порушення (GDPR, закони штатів США, галузеві банківські правила) вимірюватимуть терміни реагування з 27 травня, а не з вашої дати виявлення. Якщо ви не можете довести, що вас не зламали протягом цього вікна, вам, можливо, доведеться вважати, що зламали.

Незручний висновок: злом 100 клієнтів із націлюванням на 300 точок входу свідчить про те, що зловмисники мали робочий сканер і список. Будь-хто, хто запускав публічно доступний екземпляр PeopleSoft, повинен вважати, що його перевіряли. Питання в тому, чи спрацювало SSRF до встановлення тимчасового виправлення.

План Дій для Команд Безпеки

Ставтесь до цього як до активної експлуатації та дійте цього тижня. Mandiant і Rapid7 публікують індикатори компрометації. Отримайте їх, завантажте у свій SIEM і проведіть ретроспективний пошук починаючи з 27 травня. Не чекайте повного патча Oracle — застосуйте тимчасове виправлення. Половина виправлення краща за жодного, коли зловмисник уже всередині.

Конкретні дії:

• Негайно застосуйте тимчасове виправлення Oracle для CVE-2026-35273 на кожному екземплярі PeopleSoft — внутрішньому чи зовнішньому. Перевіряйте CISA KEV для отримання оновлень статусу.
• Заблокуйте вихідний SSH та довільний трафік із рівнів додатків PeopleSoft. Дозвольте лише ті призначення, які дійсно потрібні вашим пакетним процесам. Так, щось зламається. Виправляйте по ходу.
• Шукайте вихідні з'єднання до 176.120.22.24 та архіви, стиснуті zstd, що зберігаються у тимчасових каталогах на хостах PeopleSoft.
• Перевірте XML-конфіги WebLogic та планувальника процесів на наявність облікових даних і токенів облікових записів служб. Змініть усе, що було доступне для читання з рівня додатків.
• Завантажте журнали доступу для веб-рівня PeopleSoft починаючи з 27 травня та шукайте аномальні патерни вихідних запитів, характерні для SSRF-зондування.

Для розмови з CTO: це момент, щоб переглянути, чи повинні застарілі корпоративні додатки знаходитися в тому самому мережевому сегменті, що й ваш сучасний стек. PeopleSoft не зникне в більшості організацій найближчим часом. Мережева ізоляція, суворий контроль вихідного трафіку та серйозна дорожня карта виведення з експлуатації найризикованіших модулів — єдині довготривалі відповіді. Одна погана SSRF не повинна мати змогу потрапити на ваш сайт злитих даних у вигляді 48-гігабайтного zstd-архіву.

Ключові Висновки

• CVE-2026-35273 — це SSRF із рейтингом 9.8 в Oracle PeopleSoft, що експлуатується в реальних умовах починаючи з 27 травня і досі лише частково виправлений.
• ShinyHunters атакував близько 300 точок входу в 100 організаціях, 68 відсотків із яких — заклади вищої освіти, і принаймні одна підтверджена вимога про вимагання.
• Ланцюжок атаки був непримітним: SSRF, розвідка конфігурацій PeopleSoft і WebLogic, стиснення zstd, ексфільтрація через SSH на 176.120.22.24.
• Контроль вихідного трафіку на застарілих рівнях додатків — найдешевший захід пом'якшення, який ви ще не застосовуєте. Виправте це цього тижня.
• Якщо ви запускали публічний PeopleSoft між 27 травня і датою тимчасового виправлення — вважайте, що вас зондували. Проводьте ретроспективний пошук, а не просто застосовуйте патч.