אם אתם משתמשים ב-PeopleSoft של Oracle לניהול משאבי אנוש ושכר, יש לכם עכשיו סיבה טובה להזיע. Oracle שלחה אזהרה ללקוחות ארגוניים על פגיעות חמורה שמקבלת דירוג קריטי, ושבינתיים כבר נוצלה על ידי קבוצת סייבר-פשע.

הסיפור התחיל אחרי שקבוצת ההאקרים ShinyHunters טענה שהיא פרצה ליותר מ-100 ארגונים שמשתמשים בשרתים של PeopleSoft. יום אחרי זה, Oracle פרסמה הודעת אבטחה שמזהירה שהבאג מאפשר ניצול דרך האינטרנט בלי שום צורך באימות. כן, בלי סיסמה, בלי “תתחבר קודם”. זה בדיוק מסוג התרחישים שגורמים למחלקות אבטחה להרגיש כמו מי שנשארו בלי מנעול בדלת.

מה הבעיה ולמה זה מפחיד?
הפגיעות נמצאת ב-PeopleSoft, תוכנה שארגונים גדולים משתמשים בה כדי לנהל תהליכי שכר, עובדים ותפעול HR. לפי Oracle, אפשר לנצל את הבאג ישירות מהאינטרנט בלי שהמערכת דורשת הזדהות לפני. במילים פשוטות: אם השרת חשוף, התוקפים יכולים לנסות ולהיכנס או לפחות להגיע לפעולות שלא אמורות להיות זמינות.

Oracle עדיין לא פרסמה תיק מלא (patch) בזמן כתיבת האזהרה, אבל כן המליצה ללקוחות להחיל את צעדי ההפחתה (mitigations) כדי לצמצם את הסיכון לניצול.

מה ShinyHunters טענו ומה מודיעין האיומים אמר?
חבר בקבוצת ShinyHunters סיפר כי ההתקפות הצליחו בגלל פרצה בשרתים של PeopleSoft שלא טופלה בזמן. זה גם מסביר למה הפגיעות מוגדרת כ-zero-day: החברה שנפגעה, כאן Oracle, לא הספיקה לתקן לפני שהפרצה התגלתה ונוצלה.

יחידת אבטחה של חברה גדולה בתחום האיומים אישרה שהיא גם יצרה קשר עם יותר מ-100 ארגונים ברחבי העולם, רובם בארצות הברית, כדי להגביל גישה למערכות שעלולות להיות פגיעות. הם ציינו שכבערך שני שלישים מהארגונים שנפגעו או נמצאים בסיכון הם מוסדות להשכלה גבוהה, וזה מסתדר עם מה ש-ShinyHunters אמרו בעבר.

המשמעות? זה לא רק “תיאורטי”. היו ארגונים שביצעו חסימה או תיקון בזמן, אבל אחרים בכל זאת נדבקו. ובמקרים שבהם ההתקפה הצליחה, מידע שגנבו פורסם באתר דליפות הנתונים של ShinyHunters.

איזה מידע נגנב? ומה הטקטיקה הכללית?
באותו קו של מתקפות סחיטה, ShinyHunters לא מסתפקים בלהראות שהם יכולים. הם מזהים תוכנה פגיעה ואז את הארגונים שמשתמשים בה. אחרי החדירה הם מנסים לגנוב מידע של החברה או של הלקוחות, ואז מאיימים לפרסם אותו אלא אם הקורבנות ישלמו כופר.

הקבוצה כבר תקפה בעבר ארגונים שמשתמשים במערכות של Salesforce ו-Gainsight, וגם פתרונות של Instructure. ובמקרים האלה הם עשו יותר מרק “לגנוב”: הם גם שיבשו עמודי התחברות של בתי ספר שמשתמשים ב-Canvas, מערכת נפוצה לניהול פורטל מידע לתלמידים.

במקרה הנוכחי, לפי הטענות של ההאקרים, חלק מהארגונים שנפרצו הם אוניברסיטאות ומכללות. הם אף הציגו הודעה שלטענתם נשלחה לאחד מבתי הספר, שבה נטען שנגנבו “מאות אלפי” רשומות תלמידים. ברשימה שהוצגה הופיעו פרטים כמו שם מלא, כתובת בית, טלפון, אימייל, תאריך לידה, מגדר, השתייכות אתנית, סטטוס הרשמה, ממוצע ציונים, מגמה, ותעודת סטודנט, לכל קמפוסים.

אז מה עושים עכשיו? אין קסם, יש פרקטיקה
הדבר הכי חשוב כרגע: ליישם את צעדי ההפחתה ש-Oracle המליצה עליהם, במיוחד כי הניצול יכול להתבצע בלי אימות. כלומר, “נחכה לראות” זה תענוג יקר.
במקביל, ארגונים צריכים לבדוק אם שרתי PeopleSoft שלהם חשופים לאינטרנט, לבצע ניטור חריגים, ולוודא שמערכות תואמות להנחיות העדכניות. כי כשמדובר ב-zero-day, הזמן הוא לא רק כסף. הזמן הוא הבדל בין “חסמנו בזמן” לבין “המיילים כבר בחוץ”.