טכנולוגיה

Oracle מזהירה: באג קריטי ב-PeopleSoft שנפרץ ל-100+ חברות איך מתקנים מהר?

ההאקרים ניצלו פרצה בלי צורך בסיסמה, ו-Oracle עדיין לא פרסמה תיק. הנה מה שחשוב לעשות עכשיו

3 דקות קריאה 22
בהתאם לסעיף 27 לחוק זכות יוצרים, תשס"ח-2007 (שימוש הוגן לצרכי דיווח ותוכן עיתונאי)

אם אתם משתמשים ב-PeopleSoft של Oracle לניהול משאבי אנוש ושכר, יש לכם עכשיו סיבה טובה להזיע. Oracle שלחה אזהרה ללקוחות ארגוניים על פגיעות חמורה שמקבלת דירוג קריטי, ושבינתיים כבר נוצלה על ידי קבוצת סייבר-פשע.

הסיפור התחיל אחרי שקבוצת ההאקרים ShinyHunters טענה שהיא פרצה ליותר מ-100 ארגונים שמשתמשים בשרתים של PeopleSoft. יום אחרי זה, Oracle פרסמה הודעת אבטחה שמזהירה שהבאג מאפשר ניצול דרך האינטרנט בלי שום צורך באימות. כן, בלי סיסמה, בלי “תתחבר קודם”. זה בדיוק מסוג התרחישים שגורמים למחלקות אבטחה להרגיש כמו מי שנשארו בלי מנעול בדלת.

מה הבעיה ולמה זה מפחיד?

הפגיעות נמצאת ב-PeopleSoft, תוכנה שארגונים גדולים משתמשים בה כדי לנהל תהליכי שכר, עובדים ותפעול HR. לפי Oracle, אפשר לנצל את הבאג ישירות מהאינטרנט בלי שהמערכת דורשת הזדהות לפני. במילים פשוטות: אם השרת חשוף, התוקפים יכולים לנסות ולהיכנס או לפחות להגיע לפעולות שלא אמורות להיות זמינות.

Oracle עדיין לא פרסמה תיק מלא (patch) בזמן כתיבת האזהרה, אבל כן המליצה ללקוחות להחיל את צעדי ההפחתה (mitigations) כדי לצמצם את הסיכון לניצול.

מה ShinyHunters טענו ומה מודיעין האיומים אמר?

חבר בקבוצת ShinyHunters סיפר כי ההתקפות הצליחו בגלל פרצה בשרתים של PeopleSoft שלא טופלה בזמן. זה גם מסביר למה הפגיעות מוגדרת כ-zero-day: החברה שנפגעה, כאן Oracle, לא הספיקה לתקן לפני שהפרצה התגלתה ונוצלה.

יחידת אבטחה של חברה גדולה בתחום האיומים אישרה שהיא גם יצרה קשר עם יותר מ-100 ארגונים ברחבי העולם, רובם בארצות הברית, כדי להגביל גישה למערכות שעלולות להיות פגיעות. הם ציינו שכבערך שני שלישים מהארגונים שנפגעו או נמצאים בסיכון הם מוסדות להשכלה גבוהה, וזה מסתדר עם מה ש-ShinyHunters אמרו בעבר.

המשמעות? זה לא רק “תיאורטי”. היו ארגונים שביצעו חסימה או תיקון בזמן, אבל אחרים בכל זאת נדבקו. ובמקרים שבהם ההתקפה הצליחה, מידע שגנבו פורסם באתר דליפות הנתונים של ShinyHunters.

איזה מידע נגנב? ומה הטקטיקה הכללית?

באותו קו של מתקפות סחיטה, ShinyHunters לא מסתפקים בלהראות שהם יכולים. הם מזהים תוכנה פגיעה ואז את הארגונים שמשתמשים בה. אחרי החדירה הם מנסים לגנוב מידע של החברה או של הלקוחות, ואז מאיימים לפרסם אותו אלא אם הקורבנות ישלמו כופר.

הקבוצה כבר תקפה בעבר ארגונים שמשתמשים במערכות של Salesforce ו-Gainsight, וגם פתרונות של Instructure. ובמקרים האלה הם עשו יותר מרק “לגנוב”: הם גם שיבשו עמודי התחברות של בתי ספר שמשתמשים ב-Canvas, מערכת נפוצה לניהול פורטל מידע לתלמידים.

במקרה הנוכחי, לפי הטענות של ההאקרים, חלק מהארגונים שנפרצו הם אוניברסיטאות ומכללות. הם אף הציגו הודעה שלטענתם נשלחה לאחד מבתי הספר, שבה נטען שנגנבו “מאות אלפי” רשומות תלמידים. ברשימה שהוצגה הופיעו פרטים כמו שם מלא, כתובת בית, טלפון, אימייל, תאריך לידה, מגדר, השתייכות אתנית, סטטוס הרשמה, ממוצע ציונים, מגמה, ותעודת סטודנט, לכל קמפוסים.

אז מה עושים עכשיו? אין קסם, יש פרקטיקה

הדבר הכי חשוב כרגע: ליישם את צעדי ההפחתה ש-Oracle המליצה עליהם, במיוחד כי הניצול יכול להתבצע בלי אימות. כלומר, “נחכה לראות” זה תענוג יקר.

במקביל, ארגונים צריכים לבדוק אם שרתי PeopleSoft שלהם חשופים לאינטרנט, לבצע ניטור חריגים, ולוודא שמערכות תואמות להנחיות העדכניות. כי כשמדובר ב-zero-day, הזמן הוא לא רק כסף. הזמן הוא הבדל בין “חסמנו בזמן” לבין “המיילים כבר בחוץ”.

שתף: WhatsApp Facebook X

שאלות נפוצות

מה הבעיה הקריטית ב-PeopleSoft שעליה Oracle הזהירה?
לפי Oracle, יש פגיעות ב-PeopleSoft שמקבלת דירוג קריטי, ושמאפשרת ניצול דרך האינטרנט בלי דרישת הזדהות מוקדמת. המשמעות היא שניתן לנסות גישה או פעולות שלא אמורות להיות זמינות לפני אימות.
כיצד טענות ShinyHunters קשורות להיקף הפריצות של יותר ממאה?
ShinyHunters טענו שפרצו ליותר מ-100 ארגונים המשתמשים בשרתים של PeopleSoft. יחידת אבטחה בחברה גדולה אישרה שיצרה קשר עם יותר ממאה ארגונים כדי להגביל גישה. לדבריהם, רבים נמצאו בארצות הברית.
אילו צעדים מומלצים כעת כדי להפחית סיכון במהירות?
הכתבה מדגישה ליישם את צעדי ההפחתה ש-Oracle המליצה עליהם, במיוחד כי הניצול עשוי להתבצע בלי אימות. בנוסף: לבדוק חשיפה לאינטרנט, לבצע ניטור חריגים, ולוודא התאמה להנחיות העדכניות.
שתפו את הכתבה