كشف تقرير حديث عن استغلال مجموعة ShinyHunters لثغرة أمنية خطيرة في نظام Oracle PeopleSoft، مما سمح لهم بالوصول إلى بيانات حساسة وسرقتها. وقد استهدفت هذه الحملة بالدرجة الأولى المؤسسات التعليمية، مما يثير قلقاً بالغاً بشأن أمن بيانات الطلاب والموظفين.
ووفقاً لشركة Mandiant، التي تتعقب المجموعة تحت اسم UNC6240، فإن النشاط الخبيث امتد بين 27 مايو و9 يونيو. وتجدر الإشارة إلى أن شركة Oracle لم تصدر تنبيهاً خاصاً بالثغرة إلا في 10 يونيو، مما يعني أنها كانت ثغرة “يوم الصفر” (zero-day) خلال فترة الاستغلال.
ثغرة Oracle PeopleSoft تستهدف المؤسسات التعليمية
الثغرة، التي تحمل المعرف CVE-2026-35273، هي ثغرة تسمح بتنفيذ تعليمات برمجية عن بعد (Remote Code Execution) في نظام Oracle PeopleSoft Enterprise PeopleTools، وبتقييم خطورة يبلغ 9.8 من 10. وهي لا تتطلب تسجيل دخول أو تفاعل من المستخدم، بل مجرد الوصول إلى الشبكة عبر بروتوكول HTTP للسيطرة على الخادم. وفي حال كانت المنصة متاحة من خارج الشبكة الداخلية، فإن ذلك يشكل تعرضاً مباشراً.
تتركز هذه الثغرة في مكون إدارة البيئات (Environment Management Hub)، وتحديداً خلف واجهة PSEMHUB. ورغم أن Oracle لم تحدد ما إذا كانت قد تعرضت لهجمات فعلية، إلا أن التوجيهات الأولية تركز على تطبيق الإجراءات الوقائية.
تفاصيل الاستغلال والإجراءات الوقائية
أصبحت تفاصيل هذا الاستغلال معروفة بعد أن تركت المجموعة أدواتها مكشوفة بالصدفة، حيث تم اكتشاف مواقع لتخزين الملفات تحتوي على برامج خبيثة وعوامل تحكم عن بعد، تم إخفاؤها لتبدو كبرامج شرعية من Microsoft Azure. وتم اكتشاف اتصال هذه العوامل بخادم قيادة وتحكم مزيف.
وقد استخدم المهاجمون سكربتاً للانتقال داخل الشبكة، يعتمد على قائمة مسربة من أسماء المستخدمين وكلمات المرور لاختراق الأنظمة الداخلية، ثم تركوا ملفاً يحمل اسم README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT في مجلدات PeopleSoft.
قامت Mandiant بإبلاغ أكثر من 100 منظمة بوجود نقاط ضعف محتملة لديها، وشكلت نسبة 68% منها مؤسسات تعليمية، معظمها في الولايات المتحدة. بعض هذه المؤسسات نجحت في صد الهجمات، بينما تعرضت أخرى لخرق أدى إلى نشر بياناتها.
تعتبر جامعة نوتنغهام من أوائل الضحايا المؤكدين، حيث تم اكتشاف حوالي 455,000 عنوان بريد إلكتروني في مجموعة البيانات المسروقة، تشمل بيانات طلاب حاليين وخريجين، مثل الأسماء، العناوين، أرقام الهواتف، أرقام جوازات السفر، وتفاصيل عن العرق والإعاقة.
تنصح Oracle بتعطيل خدمة Environment Management Hub كإجراء وقائي. وفي حال عدم إمكانية ذلك، يُنصح بحظر الوصول الخارجي إلى المسارات المحددة في النظام.
تحذر Mandiant من أن أدوات فحص حركة مرور الويب (WAF) وحدها قد لا تكون كافية، لأنها قابلة للتجاوز. ومع ذلك، فإن تقييد هذه المسارات لا يؤثر على جلسات المستخدم العادية.
يجب على المؤسسات فحص سجلات الدخول إلى WebLogic، والبحث عن ملفات .jsp غير متوقعة، أو مجلدات غريبة ضمن مسارات PSEMHUB. كما يجب مراقبة التغييرات الأخيرة في ملفات .xml، وحركة مرور SMB الصادرة من خوادم PeopleSoft إلى وجهات خارجية.
بعد التأكد من توافر التحديثات الأمنية من Oracle، يجب على المؤسسات تطبيقها فوراً. وتشير المعلومات إلى أن ShinyHunters قد تكون بدأت في استهداف أنظمة تخطيط موارد المؤسسات (ERP) بشكل منهجي، وهو ما قد يمثل تطوراً خطيراً في أساليبها.