Критическая уязвимость в Oracle PeopleSoft: как атакуют, чем грозит и что делать бизнесу

Крупные уязвимости в корпоративном ПО становятся всё более частым инструментом для киберпреступников. Недавно группа ShinyHunters начала массовые атаки на системы Oracle PeopleSoft, используя критическую уязвимость, которая позволяет похищать данные и шантажировать организации. Этот инцидент демонстрирует, как быстро развиваются атаки на основе нулевых дней и почему бизнесу необходимо срочно обновлять системы и внедрять дополнительные меры защиты.

Уязвимость CVE-2026-35273 в Oracle PeopleSoft имеет рейтинг критичности 9,8 из 10, что делает её одной из самых опасных в этом году. Она относится к классу SSRF (Server-Side Request Forgery) — атаки, при которой злоумышленник отправляет поддельные запросы от имени уязвимого сервера к внутренним системам организации. Это позволяет обходить защитные барьеры и получать доступ к конфиденциальным данным, включая личные данные студентов, финансовые записи и корпоративную информацию. Группа ShinyHunters эксплуатирует эту уязвимость с 27 мая, и на данный момент известно о по меньшей мере 100 пострадавших организациях, среди которых преобладают университеты.

Атаки начались задолго до того, как уязвимость была официально признана и получила идентификатор CVE. Oracle выпустила временные рекомендации по смягчению последствий, но полноценного патча пока нет. Это создаёт дополнительные риски для компаний, которые не могут оперативно закрыть брешь в безопасности. Google Mandiant, обнаружившая атаки, подтвердила, что злоумышленники уже отправляют жертвам требования о выкупе, угрожая опубликовать украденные данные.

Как работает уязвимость и почему она так опасна

Уязвимость SSRF в PeopleSoft позволяет злоумышленникам отправлять запросы от имени сервера, на котором установлено уязвимое ПО. Это означает, что атаки могут происходить без прямого доступа к внутренним системам компании. Злоумышленник может инициировать запросы к внутренним API, базам данных или другим сервисам, которые обычно недоступны извне. Таким образом, атака может оставаться незамеченной до тех пор, пока не будет слишком поздно.

Особую опасность представляет возможность кражи больших объёмов данных. По данным Mandiant, ShinyHunters похитила гигабайты информации из систем университетов и других организаций. В одном из подтверждённых инцидентов — Университете Ноттингема — группа заявила, что получила доступ к «значительному» объёму студенческих данных. Это может включать личные данные, финансовые транзакции и исследовательские материалы. Учитывая, что университеты часто хранят данные о тысячах студентов, последствия таких атак могут быть катастрофическими.

Ещё одна угроза заключается в том, что уязвимость позволяет злоумышленникам обходить стандартные механизмы аутентификации. Это означает, что даже если в компании используются многофакторная аутентификация и сложные пароли, атака может остаться успешной. Поскольку PeopleSoft широко используется в образовательных учреждениях, финансовых институтах и государственных организациях, количество потенциальных жертв очень велико.

Кто такие ShinyHunters и почему они так опасны

ShinyHunters — это одна из самых активных и агрессивных групп в сфере киберпреступности. Она специализируется на атаках с использованием уязвимостей нулевого дня и вымогательстве данных. Группа известна тем, что быстро внедряет новые методы атак и активно использует украденные данные для шантажа. В случае с PeopleSoft атаки начались задолго до официального объявления об уязвимости, что указывает на то, что группа могла получить информацию о бреши раньше, чем производитель ПО.

Аналитики отмечают, что ShinyHunters использует тактику «двойного вымогательства»: сначала крадёт данные, а затем угрожает опубликовать их, если жертва не заплатит выкуп. Это создаёт дополнительное давление на компании, так как утечка данных может привести к репутационным потерям, юридическим санкциям и финансовым штрафам. Группа уже подтвердила несколько успешных атак, включая взлом Университета Ноттингема, где были похищены данные студентов.

Эксперты также отмечают, что ShinyHunters не ограничивается только вымогательством. Группа может продавать украденные данные на теневых форумах или использовать их для последующих атак, таких как целевой фишинг или социальная инженерия. Это делает её одной из самых опасных групп в мире киберпреступности.

Какие организации уже пострадали и какие риски их ждут

По данным Mandiant, ShinyHunters атаковала около 100 организаций, из которых 68% относятся к сфере высшего образования. Это означает, что университеты и колледжи находятся в зоне повышенного риска. Университет Ноттингема стал первым подтверждённым случаем, но эксперты предполагают, что пострадавших может быть гораздо больше.

Для университетов последствия таких атак могут быть особенно тяжёлыми. Помимо финансовых потерь и репутационного ущерба, они могут столкнуться с юридическими санкциями за нарушение защиты данных. В Европе, например, университеты обязаны соблюдать требования GDPR, и утечка данных может привести к штрафам до 4% от годового оборота. В США аналогичные последствия могут наступить в рамках законов о защите данных, таких как FERPA для образовательных учреждений.

Финансовые институты и государственные организации также находятся под угрозой. PeopleSoft широко используется в банках, страховых компаниях и государственных учреждениях для управления кадрами, финансами и внутренними процессами. Утечка данных в таких организациях может привести к краже личных данных клиентов, финансовым махинациям и даже угрозам национальной безопасности.

Что делать бизнесу и государственным организациям прямо сейчас

Первым шагом для любой организации, использующей PeopleSoft, должно стать немедленное применение временных мер защиты, рекомендованных Oracle. Компания выпустила инструкции по смягчению последствий уязвимости, которые включают изменение конфигурации серверов и ограничение доступа к внутренним системам. Эти меры не устраняют уязвимость полностью, но значительно снижают риск атаки.

Вторым важным шагом является проверка всех систем на наличие следов вторжения. Mandiant и другие эксперты рекомендуют провести аудит логов, сетевого трафика и активности пользователей. Особое внимание стоит уделить серверам, на которых установлен PeopleSoft, а также системам, связанным с ними. Если атака уже состоялась, необходимо изолировать скомпрометированные системы и начать процесс восстановления данных.

Третий шаг — обновление всех компонентов PeopleSoft до последних версий. Oracle работает над патчем, но даже после его выпуска потребуется время для его внедрения. Компании должны следить за официальными обновлениями и устанавливать их как можно скорее. Также рекомендуется провести обучение сотрудников основам кибербезопасности, чтобы минимизировать риск социальной инженерии и фишинговых атак.

Как защитить данные и минимизировать ущерб от утечки

Если атака всё же произошла, важно действовать быстро и решительно. Первым делом необходимо уведомить всех пострадавших лиц и органы власти в соответствии с законодательством. В Европе это может быть уведомление о нарушении защиты данных в соответствующий надзорный орган, а в США — уведомление о нарушении данных в генеральную прокуратуру штата.

Далее следует провести расследование инцидента с привлечением специалистов по кибербезопасности. Это поможет определить масштабы утечки, выявить уязвимости, которые привели к атаке, и разработать план по их устранению. Также важно связаться с правоохранительными органами и предоставить им всю доступную информацию о группе ShinyHunters.

Для восстановления доверия клиентов и партнёров необходимо опубликовать прозрачное заявление о случившемся. В нём следует объяснить, какие данные были скомпрометированы, какие меры были приняты для предотвращения повторных атак и как компания намерена поддерживать безопасность в будущем. Также стоит предложить пострадавшим услуги мониторинга кредитного рейтинга или другие меры поддержки.

Какие уроки можно извлечь из этой атаки

Этот инцидент демонстрирует, что даже крупные и хорошо защищённые организации не застрахованы от атак на основе уязвимостей нулевого дня. Даже если производитель ПО оперативно выпускает патчи, времени на их установку может быть недостаточно, чтобы предотвратить атаку. Поэтому бизнесу необходимо внедрять многоуровневую защиту, которая включает не только обновление ПО, но и мониторинг активности, обучение сотрудников и регулярные аудиты безопасности.

Ещё один важный урок — необходимость сотрудничества между бизнесом, государством и экспертами по кибербезопасности. Обмен информацией об угрозах и уязвимостях позволяет быстрее реагировать на инциденты и минимизировать их последствия. В случае с PeopleSoft Mandiant и Oracle оперативно взаимодействовали для выявления и смягчения последствий уязвимости, что помогло предотвратить ещё большие потери.

Наконец, этот инцидент подчёркивает важность подготовки к инцидентам безопасности. Компании должны иметь планы реагирования на инциденты, включающие чёткие процедуры уведомления, расследования и восстановления. Только так можно минимизировать ущерб и быстро вернуться к нормальной работе после атаки.

Что ждёт Oracle и рынок корпоративного ПО в ближайшие месяцы

Oracle столкнулась с серьёзной критикой за задержку с выпуском патча для уязвимости. Хотя компания выпустила временные рекомендации, отсутствие полноценного решения создаёт дополнительные риски для клиентов. В ближайшие месяцы Oracle, вероятно, ускорит работу над патчем и выпустит обновления для всех уязвимых версий PeopleSoft.

Рынок корпоративного ПО также может отреагировать на этот инцидент ужесточением требований к безопасности. Клиенты могут начать требовать от вендоров более быстрого реагирования на уязвимости, а также внедрения дополнительных механизмов защиты, таких как изоляция сетей и многофакторная аутентификация. Это может привести к изменению подходов к разработке и тестированию ПО, а также к увеличению спроса на услуги по аудиту безопасности.

Наконец, этот инцидент может стать катализатором для ужесточения регуляторных требований к защите данных. Государственные органы могут начать требовать от компаний более строгого контроля за безопасностью корпоративного ПО и регулярного проведения независимых аудитов. Это может повлиять на весь рынок и заставить компании пересмотреть свои подходы к кибербезопасности.

Заключение: время действовать, пока не стало слишком поздно

Критическая уязвимость в Oracle PeopleSoft — это напоминание о том, что киберугрозы становятся всё более изощрёнными и опасными. Группа ShinyHunters уже доказала, что способна наносить серьёзный ущерб, и времени на размышления у бизнеса остаётся всё меньше. Каждая организация, использующая PeopleSoft, должна немедленно принять меры по защите своих систем и данных.

Не стоит ждать, пока производитель выпустит полноценный патч. Временные меры защиты, аудит систем и обучение сотрудников — это те шаги, которые помогут снизить риски уже сейчас. Если атака всё же произойдёт, важно действовать быстро и прозрачно, чтобы минимизировать ущерб и сохранить доверие клиентов.

Кибербезопасность — это не разовая задача, а постоянный процесс. Инциденты с PeopleSoft и ShinyHunters должны стать тревожным сигналом для всех, кто работает с корпоративным ПО. Только комплексный подход к безопасности поможет защитить бизнес от будущих атак и сохранить данные в безопасности.