Giriş
Oracle PeopleSoft sunucuları, ShinyHunters fidye çetesi tarafından hedef alınarak veri hırsızlığı saldırılarına maruz kalmaktadır. Bu saldırıların önemli bir kısmı, 100’den fazla kuruluştan veri çalındığını iddia etmektedir.
Saldırı Nasıl Çalışıyor?
ShinyHunters, bu saldırıları gerçekleştirmek için eski ve sıfırıncı gün zafiyetlerini içeren bir “gadget chain” kullanmaktadır. Ancak, saldırının her sistemde etkili olamadığı ve başarı oranının sistem yapılandırmalarına bağlı olduğu belirtmektedir.
- Hedefin özel, kurumsal yazılım olan PeopleSoft olduğu, özellikle eğitim sektöründeki pek çok kuruluştan verilerin çalındığı ifade edilmektedir.
- Çeteye göre, Nottingham Üniversitesi bu saldırılarda kurbanlardan biridir ve verileri zaten ShinyHunters veri sızıntısı sitesinde yayımlanmıştır.
Etkilenen Sistemler
Saldırılar, hem bulut hem de yerel Oracle PeopleSoft müşteri örneklerine yönelik olarak geniş bir kapsamda gerçekleştirilmektedir. BleepingComputer’a göre, şu an itibarıyla 300’ün üzerinde kuruluştan veri çalındığı doğrulanmıştır.
- Eğitim sektörü ağırlıklı olmak üzere birçok kuruluş, daha önce ShinyHunters tarafından fidye talepleriyle karşı karşıya kalmıştır.
- Oracle, kamuya açık olarak bu saldırılar hakkında henüz bir bilgi sunmamıştır.
IP Adresleri ve Yıllar
Araştırmacılar, saldırılarla ilişkili bazı IP adreslerini tespit etmiştir:
142.11.200[.]186
142.11.200[.]187
142.11.200[.]188
142.11.200[.]189
142.11.200[.]190
108.174.202[.]99
176.120.22[.]24
Bu IP adreslerinden bazıları, ShinyHunters çetesi ile daha önce ilişkilendirilmiş “azurenetfiles[.]net” alan adı ile bir TLS sertifikası kullanmaktadır.
Çözüm ve Korunma
Oracle PeopleSoft kullanan tüm kuruluşların, aşağıdaki adımları atması şiddetle tavsiye edilmektedir:
- Logları analiz edin: Yukarıdaki IP adreslerinden gelen bağlantılar için günlüklerinizi gözden geçirin.
- Olay yanıtı başlatın: Eğer bu IP adresleri belirlendi ise, derhal olay müdahale süreçlerini başlatıp PeopleSoft örneğinizin ihlal edilip edilmediğini araştırın.
- Sunucuları kontrol edin: Etkilenen sunucuları internet erişiminden geçici olarak kaldırmayı düşünün ve ortam güvenli hale gelene kadar inceleme yapın.
Sonuç
Oracle PeopleSoft sisteminizi korumak için güncellemelerinizi kontrol edin ve yukarıda belirtilen adımları uygulayın. Ayrıca, kullanıcılarınıza erişim güvenliğini sağlamak adına güçlü parola uygulamaları ve çok faktörlü kimlik doğrulama gibi önlemleri alın. Bu tür saldırılara karşı hazırlıklı olmak, veri güvenliğinizi sağlamak açısından kritik öneme sahiptir.
