Oracle a récemment émis une alerte de sécurité à l'intention de ses clients entreprises, indiquant qu'il existe une grave vulnérabilité de sécurité dans le logiciel PeopleSoft de l'entreprise utilisé pour la gestion de la paie et des ressources humaines. Un groupe de cybercriminels appelé ShinyHunters a affirmé utiliser cette vulnérabilité pour lancer une opération de piratage à grande échelle et envahir plus de 100 organisations utilisant le logiciel. L'alerte a été émise jeudi, heure locale, un jour après que ShinyHunters ait affirmé avoir violé les systèmes de plus de 100 organisations exécutant des serveurs PeopleSoft.

Mandiant, une société de cybersécurité affiliée à Google, a confirmé dans un article de blog que la vulnérabilité exploitée par ShinyHunters est le même problème que la nouvelle faille divulguée par Oracle, et que la cible est concentrée sur le groupe de clients PeopleSoft d'Oracle. Actuellement, Oracle n'a pas publié de correctif, mais il a averti dans un avis de sécurité que la vulnérabilité peut être exploitée à distance via Internet et que des attaques peuvent être lancées sans aucune authentification ni mot de passe, et a exhorté les clients qui utilisent toujours les systèmes PeopleSoft concernés à les configurer immédiatement conformément aux mesures d'atténuation officielles afin de réduire le risque d'attaque.

Des membres de ShinyHunters ont déclaré que le groupe avait envahi les systèmes de plusieurs organisations en attaquant les serveurs PeopleSoft non corrigés. Avant qu'Oracle ne publie un correctif, la vulnérabilité était une vulnérabilité typique du « jour zéro », c'est-à-dire que le fabricant du logiciel n'avait pas le temps de développer un correctif lorsque la vulnérabilité était découverte et exploitée. Mandiant a déclaré avoir envoyé des notifications à plus de 100 organisations à travers le monde pour les alerter des risques potentiels liés à leurs systèmes, dont la plupart sont situés aux États-Unis, les universités et les établissements d'enseignement supérieur représentant environ les deux tiers. Ceci est fondamentalement cohérent avec la composition des cibles d’attaque précédemment divulguée par ShinyHunters.

Mandiant 在通报中指出,一些机构在攻击过程中成功阻断了黑客活动或及时完成了漏洞修复,但也有组织遭到实际入侵,导致敏感数据被窃取并被公布在 ShinyHunters 运营的数据泄露网站上。对于此次大规模入侵事件,甲骨文方面目前尚未作出回应。

Les membres de ShinyHunters ont montré aux médias un message de notification qu'ils prétendaient avoir envoyé à une université victime, qui montrait que des pirates avaient volé « des centaines de milliers de dossiers d'étudiants » du système de l'école, y compris les noms des étudiants, leurs adresses personnelles, leurs numéros de téléphone, leurs adresses e-mail, leurs dates de naissance, leur sexe, leur origine ethnique, leur statut d'inscription, leur moyenne pondérée cumulative (GPA), leurs spécialisations et leurs numéros d'identification d'étudiant. À mesure que la portée de l'attaque s'étend, PeopleSoft et ses clients deviennent les dernières victimes d'une série d'intrusions menées par ShinyHunters ciblant le même type de logiciels vulnérables.

Au cours de la dernière année, ShinyHunters a ciblé à plusieurs reprises des entreprises et des institutions utilisant la même plate-forme logicielle pour mener des attaques. Le gang a déjà procédé à des intrusions contre de nombreuses entreprises utilisant Salesforce et Gainsight, ainsi que contre des services logiciels fournis par le géant des technologies éducatives Instructure. Une fois qu'il est confirmé qu'un certain type de logiciel présente des vulnérabilités exploitables, il se concentrera sur l'analyse et l'intrusion dans un grand nombre d'organisations utilisant le logiciel, volant des données d'entreprise ou de clients, puis menaçant de divulguer les données et exigeant une rançon des victimes.

Plus tôt cette année, Instructure a publiquement admis avoir conclu un accord avec des pirates informatiques et les avoir payés après deux intrusions ; lors d'attaques similaires, ShinyHunters a même falsifié les pages de connexion de plusieurs écoles et « dégradé » de manière malveillante le portail d'information du campus Canvas appartenant à Instructure qu'ils utilisaient pour montrer les résultats de l'attaque. Actuellement, alors que les vulnérabilités de PeopleSoft sont exposées et exploitées à grande échelle, les experts en sécurité préviennent que si les entreprises et les universités qui s'appuient sur ce système pour gérer leurs activités principales ne prennent pas de mesures officielles d'atténuation en temps opportun et ne déploient pas de correctifs dès que possible, elles risquent fort de devenir victimes d'une prochaine série de fuites de données et d'attaques de ransomware.