A Oracle emitiu recentemente um alerta de segurança para seus clientes corporativos, dizendo que há uma séria vulnerabilidade de segurança no software PeopleSoft da empresa usado para folha de pagamento e gerenciamento de recursos humanos. Um grupo cibercriminoso chamado ShinyHunters afirmou estar usando esta vulnerabilidade para lançar uma operação de hacking em grande escala e invadir mais de 100 organizações que usam o software. O alerta foi emitido na quinta-feira, horário local, um dia depois que ShinyHunters alegaram ter violado os sistemas de mais de 100 organizações que executam servidores PeopleSoft.
A Mandiant, empresa de segurança cibernética afiliada ao Google, confirmou em um blog que a vulnerabilidade explorada pelo ShinyHunters é o mesmo problema da nova falha divulgada pela Oracle, e o alvo está concentrado no grupo de clientes PeopleSoft da Oracle. Atualmente, a Oracle não lançou um patch de correção, mas alertou em um comunicado de segurança que a vulnerabilidade pode ser explorada remotamente através da Internet e que os ataques podem ser lançados sem qualquer autenticação ou senha, e instou os clientes que ainda usam sistemas PeopleSoft afetados a configurarem imediatamente de acordo com as medidas oficiais de mitigação para reduzir o risco de serem atacados.
Membros do ShinyHunters disseram que o grupo invadiu os sistemas de várias organizações atacando servidores PeopleSoft não corrigidos. Antes de a Oracle lançar um patch, a vulnerabilidade era uma vulnerabilidade típica de “dia zero”, ou seja, o fabricante do software não teve tempo de desenvolver uma correção quando a vulnerabilidade foi descoberta e explorada. A Mandiant disse que enviou avisos a mais de 100 organizações em todo o mundo para alertá-las sobre potenciais riscos nos seus sistemas, a maioria dos quais estão localizados nos Estados Unidos, sendo as universidades e instituições de ensino superior responsáveis por cerca de dois terços. Isto é basicamente consistente com a composição dos alvos de ataque divulgados anteriormente pela ShinyHunters.
Mandiant apontou no comunicado que algumas organizações bloquearam com sucesso atividades de hackers durante o ataque ou concluíram reparos de vulnerabilidade em tempo hábil, mas outras organizações foram realmente comprometidas, resultando no roubo de dados confidenciais e na publicação em um site de vazamento de dados operado pela ShinyHunters. A Oracle ainda não respondeu a esta intrusão em grande escala.
Membros do ShinyHunters mostraram à mídia uma mensagem de notificação que alegaram ter enviado a uma universidade vítima, que mostrava que hackers haviam roubado "centenas de milhares de registros de alunos" do sistema escolar, incluindo nomes de alunos, endereços residenciais, números de telefone, endereços de e-mail, datas de nascimento, sexo, etnia, status de matrícula, média de notas (GPA), especializações e números de identificação de estudante. À medida que o escopo do ataque se expande, a PeopleSoft e seus clientes tornam-se as últimas vítimas de uma série de invasões conduzidas por ShinyHunters visando o mesmo tipo de software vulnerável.
Durante o ano passado, ShinyHunters tem repetidamente como alvo empresas e instituições que usam a mesma plataforma de software para ataques. A gangue já realizou invasões contra muitas empresas que usam Salesforce e Gainsight, bem como serviços de software fornecidos pela gigante de tecnologia educacional Instructure. Uma vez confirmado que um determinado tipo de software possui vulnerabilidades exploráveis, ele se concentrará na varredura e na invasão de um grande número de organizações que utilizam o software, roubando dados corporativos ou de clientes e, em seguida, ameaçando divulgar os dados e exigindo resgate das vítimas.
No início deste ano, a Instructure admitiu publicamente que havia chegado a um acordo e pagou hackers após duas invasões; em ataques relacionados, os ShinyHunters até adulteraram as páginas de login de várias escolas e “desfiguraram” maliciosamente o portal de informações do campus Canvas, de propriedade da Instructure, que eles usaram para mostrar os resultados do ataque. Atualmente, à medida que as vulnerabilidades da PeopleSoft são expostas e exploradas em grande escala, os especialistas em segurança alertam que se as empresas e universidades que dependem deste sistema para lidar com o seu negócio principal não tomarem medidas oficiais de mitigação em tempo útil e implementarem patches o mais rapidamente possível, é muito provável que se tornem vítimas da próxima ronda de fugas de dados e ataques de ransomware.