ShinyHunters استغلّ ثغرة يوم الصفر في Oracle PeopleSoft لأسابيع قبل توفّر أي إصلاح
أكدت مجموعة Google لاستخبارات التهديدات وMandiant أن ShinyHunters، مجموعة ابتزاز البيانات المتمرّسة التي تتتبعها Google داخلياً بمعرّف UNC6240، استغلّت ثغرة بالغة الخطورة في Oracle PeopleSoft كثغرة يوم صفر لمدة قاربت أسبوعين قبل أن تُصدر Oracle أي تخفيف. تحمل الثغرة CVE-2026-35273 درجة CVSS تبلغ 9.8 وتتيح تنفيذ كود عن بُعد دون مصادقة عبر مكوّن إدارة بيئة PeopleSoft.
نشرت Oracle توصية طارئة خارج الجدول الزمني المعتاد في 10 يونيو، لكن حتى اليوم لا توجد تصحيحات متاحة — فقط حلول بديلة. يكتسب هذا الفارق أهمية بالغة إذ بدأ الاستغلال في 27 مايو، مما أتاح للمهاجمين نحو أسبوعين من الوصول غير المقيّد إلى الأنظمة المتأثرة.
الجهات المتضررة
أخطرت Google أكثر من 100 منظمة تطابقت عناوين IP الخاصة بها مع نقاط نهاية PeopleSoft المحتمل تعرّضها. ومن بين هذه المنظمات، 68% تعمل في قطاع التعليم العالي، ومعظمها مقرّه في الولايات المتحدة. تُعدّ جامعة نوتينغهام في المملكة المتحدة أول ضحية مؤكدة علناً؛ إذ نُشرت البيانات المسرّقة على موقع ShinyHunters لتسريب البيانات في 9 يونيو.
آلية الهجوم
وفقاً لتقرير Mandiant وGTIG، أنشأ المهاجمون خوادم تدريجية تستضيف عوامل MeshCentral متنكّرة كنقاط نهاية لبنية تحتية سحابية شرعية، ونفّذوا من خلالها استعلامات أوامر إدارية ونشروا سكريبت حركة جانبية مخصصاً باسم كل ضحية لنشره عبر الشبكات وسرقة البيانات.
ما يجب على المسؤولين فعله الآن
الإصدارات 8.61 و8.62 من PeopleSoft Enterprise PeopleTools وتطبيقات PeopleSoft Enterprise متأثرة. تتضمن توصية Oracle توصيات تصليب وتخفيفات على مستوى الشبكة يجب تطبيقها فوراً. كما نشرت Google مؤشرات اختراق من حملة ShinyHunters يمكن لفرق الأمن استخدامها في مطاردة التهديدات.
Originally reported by SecurityWeek. Read the original article for additional details.
View original source