Oracle hat kürzlich eine Sicherheitswarnung an seine Unternehmenskunden herausgegeben und darauf hingewiesen, dass in der PeopleSoft-Software des Unternehmens, die für die Gehaltsabrechnung und das Personalmanagement verwendet wird, eine schwerwiegende Sicherheitslücke besteht. Eine Cyberkriminelle-Gruppe namens ShinyHunters hat behauptet, diese Schwachstelle auszunutzen, um eine groß angelegte Hacking-Operation zu starten und in mehr als 100 Organisationen einzudringen, die die Software nutzen. Die Warnung wurde am Donnerstag Ortszeit ausgegeben, einen Tag nachdem ShinyHunters behauptet hatte, sie hätten die Systeme von mehr als 100 Organisationen, die PeopleSoft-Server betreiben, gehackt.

Mandiant, ein mit Google verbundenes Cybersicherheitsunternehmen, bestätigte in einem Blogbeitrag, dass es sich bei der von ShinyHunters ausgenutzten Schwachstelle um dasselbe Problem wie die von Oracle offengelegte neue Schwachstelle handelt und dass sich das Ziel auf die PeopleSoft-Kundengruppe von Oracle konzentriert. Derzeit hat Oracle keinen Fix-Patch veröffentlicht, warnte jedoch in einer Sicherheitswarnung, dass die Schwachstelle aus der Ferne über das Internet ausgenutzt werden kann und Angriffe ohne Authentifizierung oder Passwort gestartet werden können, und forderte Kunden, die weiterhin betroffene PeopleSoft-Systeme verwenden, dringend dazu auf, sofort gemäß den offiziellen Abhilfemaßnahmen zu konfigurieren, um das Risiko eines Angriffs zu verringern.

Mitglieder von ShinyHunters sagten, dass die Gruppe in die Systeme mehrerer Organisationen eingedrungen sei, indem sie ungepatchte PeopleSoft-Server angegriffen habe. Bevor Oracle einen Patch veröffentlichte, handelte es sich bei der Schwachstelle um eine typische „Zero-Day“-Schwachstelle, d. h. der Softwarehersteller hatte keine Zeit, einen Fix zu entwickeln, als die Schwachstelle entdeckt und ausgenutzt wurde. Mandiant sagte, dass sie Mitteilungen an mehr als 100 Organisationen auf der ganzen Welt gesendet haben, um sie auf potenzielle Risiken in ihren Systemen aufmerksam zu machen. Die meisten davon befinden sich in den Vereinigten Staaten, wobei etwa zwei Drittel davon auf Universitäten und Hochschuleinrichtungen entfallen. Dies steht im Wesentlichen im Einklang mit der zuvor von ShinyHunters bekannt gegebenen Zusammensetzung der Angriffsziele.

Mandiant wies in der Empfehlung darauf hin, dass einige Organisationen Hackeraktivitäten während des Angriffs erfolgreich blockierten oder Schwachstellen rechtzeitig reparierten, andere Organisationen jedoch tatsächlich kompromittiert wurden, was dazu führte, dass sensible Daten gestohlen und auf einer von ShinyHunters betriebenen Datenleck-Website veröffentlicht wurden. Oracle hat auf diesen groß angelegten Eingriff noch nicht reagiert.

Mitglieder von ShinyHunters zeigten den Medien eine Benachrichtigungsnachricht, die sie angeblich an eine Opferuniversität gesendet hatten, aus der hervorgeht, dass Hacker „Hunderttausende von Schülerdaten“ aus dem System der Schule gestohlen hatten, darunter Namen, Privatadressen, Telefonnummern, E-Mail-Adressen, Geburtsdaten, Geschlecht, ethnische Zugehörigkeit, Einschreibungsstatus, Notendurchschnitt (GPA), Hauptfächer und Studentenausweisnummern. Da der Umfang des Angriffs zunimmt, werden PeopleSoft und seine Kunden zu den jüngsten Opfern einer Reihe von Angriffen, die ShinyHunters gegen dieselbe Art anfälliger Software durchführt.

Im vergangenen Jahr hat ShinyHunters wiederholt Unternehmen und Institutionen angegriffen, die dieselbe Softwareplattform nutzen. Die Bande hat zuvor Einbrüche in viele Unternehmen verübt, die Salesforce und Gainsight sowie Softwaredienste des Bildungstechnologieriesen Instructure nutzten. Sobald bestätigt wird, dass eine bestimmte Art von Software über ausnutzbare Schwachstellen verfügt, wird das Unternehmen sich darauf konzentrieren, eine große Anzahl von Organisationen, die die Software verwenden, zu scannen und in diese einzudringen, Unternehmens- oder Kundendaten zu stehlen, dann mit der Offenlegung der Daten zu drohen und von den Opfern Lösegeld zu fordern.

Anfang des Jahres gab Instructure öffentlich zu, dass es nach zwei Einbrüchen eine Einigung mit Hackern erzielt und diese bezahlt hatte; Bei ähnlichen Angriffen manipulierte ShinyHunters sogar die Anmeldeseiten mehrerer Schulen und „verunstaltete“ in böswilliger Absicht das Canvas-Campus-Informationsportal von Instructure, das sie zur Anzeige der Ergebnisse des Angriffs nutzten. Da Schwachstellen von PeopleSoft derzeit in großem Umfang aufgedeckt und ausgenutzt werden, warnen Sicherheitsexperten, dass Unternehmen und Universitäten, die sich bei der Abwicklung ihrer Kerngeschäfte auf dieses System verlassen, nicht rechtzeitig offizielle Gegenmaßnahmen ergreifen und so schnell wie möglich Patches bereitstellen, sehr wahrscheinlich Opfer der nächsten Runde von Datenlecks und Ransomware-Angriffen werden.