Giriş
ShinyHunters adlı fidye yazılımı çetesi, Oracle PeopleSoft’taki yamanmamış bir güvenlik açığını kullanarak kurumsal sistemlere sızdı ve veri çalıp bu verileri gizli tutmak için ödeme talep etti. Bu saldırı, özellikle üniversiteleri ciddi şekilde etkiledi.
Saldırı Nasıl Çalışıyor?
Saldırıda kullanılan güvenlik açığı, CVE-2026-35273 koduna sahip ve PeopleSoft Enterprise PeopleTools içinde, uzaktan kod yürütme hatası olarak tanımlanıyor; güvenlik açığı 10 üzerinden 9.8 puan aldı. Kullanıcı girişi gerektirmeden, yalnızca HTTP üzerinden ağ erişimi ile sunucuyu alabilir. Eğer PeopleSoft’unuz dışarıdan erişilebilir bir Environment Management Hub kullanıyorsa, bu durum sizin için büyük bir risk oluşturuyor.
Etkilenen Sistemler
Oracle, PeopleTools 8.61 ve 8.62 sürümlerinin etkilendiğini açıkladı. Bu sürümden önceki, desteklenmeyen sürümlerin de muhtemelen güvenlik açığına sahip olduğu düşünülüyor.
Çözüm ve Korunma
Oracle’ın önerisi, çok sunuculu yapılandırmalar için Environment Management Hub servisini devre dışı bırakmak veya tek sunuculu sistemlerde PSEMHUB uygulamasını tamamen kaldırmaktır. Eğer bu mümkün değilse, dış erişimi /PSEMHUB/* (özellikle /PSEMHUB/hub) ve /PSIGW/HttpListeningConnector üzerinde engelleyin.
Ayrıca, Mandiant, WAF (Web Application Firewall) vücut denetim kurallarının yetersiz olduğunu ve bu kuralların aşılabileceğini vurguladı. Bu uç noktaların kısıtlanması, normal kullanıcı oturumlarını bozmaz.
Mevcut Tehditlere Dikkat Edin
Aşağıdaki belirtileri kontrol ederek mevcut bir ihlali tespit etmeye çalışın:
- WebLogic erişim günlüklerinde /PSEMHUB/hub veya /PSIGW/HttpListeningConnector üzerinde dış POST talepleri.
- PSEMHUB.war web uygulama dizininde beklenmeyen .jsp dosyaları veya PSEMHUB yollarında logs, persistentstorage veya scratchpad adlı garip klasörler.
- Web doküman kök dizinindeki envmetadata/data/environment altında yakın zamanda değiştirilen .xml dosyaları; bu veriler, yeniden başlatıldığında XMLDecoder kalıcılığı sağlamak için kullanılabilir.
- PeopleSoft sunucularından dış hedeflere port 445 üzerinden çıkan SMB trafiği, exploit zincirinin makinelerden NetNTLM hash’lerini yakalamak için kullanabilir.
Son olarak, My Oracle Support üzerinden, PeopleTools sürümünüz için Oracle’ın güncellemesini alıp almadığınızı kontrol edin ve mümkünse hemen uygulayın.
ShinyHunters’ın diğer kurbanlara ulaşımının yeni başladığı ve daha fazla ismin ortaya çıkmasının muhtemel olduğu belirtiliyor. Bu nedenle, durumınızı gözden geçirip gerekli önlemleri almanız büyük önem taşıyor.
