Allvarlig säkerhetsbrist i Oracles PeopleSoft utnyttjas för intrång
Mandiant varnar över 100 organisationer och ShinyHunters stjäl personal och studentuppgifter, kunder betalar för affärssystem men tvingas bygga egna skydd medan läckor redan hamnar på nätet
Bilder
Lorenzo Franceschi-Bicchierai
techcrunch.com
Oracle har varnat företagskunder för en kritisk sårbarhet i PeopleSoft, bolagets system för personaladministration och lönehantering. Enligt säkerhetsforskare har bristen redan utnyttjats för intrång hos fler än 100 organisationer. Sårbarheten, som beskrivs i en Oracle-varning som TechCrunch hänvisar till, kan utnyttjas över internet utan inloggning, vilket gör ett vanligt personalsystem till en fjärröppnad dörr in i organisationen.
TechCrunch skriver att hackargruppen ShinyHunters uppgett att den tagit sig in hos organisationer genom att missbruka en ouppdaterad så kallad noll-dagarsbrist i PeopleSoft. Mandiant, Googles säkerhetsenhet, säger att den brist Oracle beskriver stämmer överens med den ShinyHunters använt, och att Mandiant har underrättat fler än 100 organisationer globalt – mestadels i USA – om att de varit exponerade. Omkring två tredjedelar av de kontaktade organisationerna fanns inom högre utbildning, en sektor som ofta har stora och spretiga informationsmiljöer med många halvautonoma delar och långa cykler för uppdateringar.
Det akuta problemet är inte att PeopleSoft existerar, utan att systemet ligger där de mest värdefulla identitets- och personuppgifterna samlas. ShinyHunters har profilerat sig som en verksamhet för datastöld och utpressning: stjäla register, publicera smakprov och pressa offren att betala för att resten inte ska läggas ut. I den här kampanjen påstod gruppen sig ha kommit över stora mängder studentuppgifter – namn, adresser, kontaktuppgifter och andra fält – innan material lades upp på gruppens läcksajt. Även när ett lärosäte stoppar ett intrång snabbt finns ett starkt incitament att hålla händelsen tyst tills jurister och kommunikationsavdelningar är samspelta, vilket kan lämna andra användare av samma programvara i ovisshet om de står näst på tur.
Oracle rekommenderade åtgärder för att minska risken medan en uppdatering ännu inte fanns tillgänglig vid tiden för TechCrunchs rapportering. Det placerar kunderna i en välbekant sits: man betalar för dyr standardprogramvara och tvingas ändå bygga egna skyddslösningar – nätverksbegränsningar, övervakning, akuta konfigurationsändringar – samtidigt som angripare rör sig snabbare än interna beslutsprocesser. Universitet och andra stora arbetsgivare håller ofta systemen åtkomliga via internet för personal och studenter, och PeopleSoft-miljöer innehåller vanligtvis kopplingar till identitetstjänster, ekonomisystem och externa portaler som gör följdskadorna större.
Enligt TechCrunch har ShinyHunters i flera nya kampanjer riktat in sig på flera vanligt förekommande plattformar, däribland Salesforce, Gainsight och programvara från utbildningsbolaget Instructure. Instructure betalade hackare efter två intrång tidigare i år, vilket illustrerar marknadens råaste återkoppling: när data väl är stulen bär användarna kostnaden av att inte betala, medan kostnaden av att betala skjuts vidare till framtida offer.
Oracles varning kom efter att organisationer redan börjat kontaktas av Mandiant och efter att stulna uppgifter börjat dyka upp på nätet. För många PeopleSoft-kunder kan den första bekräftelsen på att deras personalsystem är ett konkret mål bli trafikloggarna de inte visste att de behövde spara.