455 tūkst. studentų duomenys nutekėjo: hakeriai išnaudojo „Oracle" spragą, kurios niekas netaisė

Jei esate studentas arba alumnas ir jūsų universiteto duomenys staiga atsidūrė hakerių rankose, tikriausiai norėtumėte žinoti, kaip tai atsitiko. Atsakymas — per vieną pažeidžiamumą, kurio „Oracle" nepataisė, kol nebuvo per vėlu.

Birželio 10-ąją „Oracle" pagaliau paskelbė įspėjimą apie kritinę spragą savo „PeopleSoft" sistemoje. Iki tos dienos ji buvo zero-day — tai reiškia, kad pažeidžiamumas egzistavo, o gamintojas apie jį viešai nebuvo pranešęs. Ir būtent šią spragą išnaudojo „ShinyHunters" — gerai žinoma kibernetinių prievartautojų grupuotė, kuri specializuojasi įsilaužimuose į įmonių sistemas ir vėliau reikalauja išpirkos, kad pavogti duomenys nebūtų paviešinti.

Ką reiškia CVE-2026-35273

Pažeidžiamumas gavo identifikatorių CVE-2026-35273 ir įvertintas 9,8 balo iš 10 pagal CVSS skalę. Tai reiškia kritinį pavojingumo lygį. Spraga leidžia nuotolinį kodo vykdymą (remote code execution) — užpuolikui nereikia nei prisijungimo vardo, nei slaptažodžio, nei jokios vartotojo sąveikos. Pakanka tik tinklo prieigos per HTTP ir serveris yra perimamas.

Problema slypi „PeopleSoft Enterprise PeopleTools" komponente, konkrečiai — „Environment Management Hub" (PSEMHUB) dalyje. Jei organizacija laiko šį komponentą pasiekiamą iš išorės, ji yra pažeidžiama. „Oracle" nurodo, kad paveiktos 8.61 ir 8.62 versijos, o senesnės, nebepalaikomos versijos tikriausiai taip pat turi šią spragą.

Universitetai — pagrindinis taikinys

„Google" padalinys „Mandiant", kuris priskiria šią ataką grupuotei UNC6240, nustatė aktyvų išnaudojimą tarp gegužės 27 ir birželio 9 dienos. „Mandiant" technologijų direktorius Charlesas Carmakalas patvirtino, kad pažeidžiamumas buvo išnaudojamas realiame pasaulyje.

„Mandiant" perspėjo daugiau nei 100 organizacijų, kurių IP adresai atitiko pažeidžiamus taškus. 68 procentai jų buvo aukštojo mokslo institucijos, daugiausia Jungtinėse Valstijose. Kai kurios spėjo užblokuoti veiklą, kitos buvo kompromituotos ir jų duomenys atsidūrė „ShinyHunters" nutekinimo svetainėje.

Notingamo universitetas tapo vienu pirmųjų patvirtintų aukų. „Have I Been Pwned" suskaičiavo apie 455 tūkstančius unikalių el. pašto adresų nutekintame rinkinyje — tarp jų dabartiniai studentai ir alumnai, kurių duomenyse buvo vardai, adresai, telefono numeriai, pasų numeriai, taip pat informacija apie etninę kilmę ir negalias. Universitetas patvirtino incidentą.

Kaip užpuolikai paliko pėdsakus

Operacinės detalės tapo viešos dėl to, kad patys užpuolikai paliko savo įrankius atvirus. Tyrėjas @nahamike01 viešai pažymėjo atvirus katalogus. „Mandiant" tada aptiko penkis iš eilės IP adresus, kuriuose veikė „Python SimpleHTTP" serveris 8888 porte.

Tuose serveriuose gulėjo paruošiamieji failai: bendras .bash_history, specialiai modifikuoti „MeshCentral" nuotolinio valdymo agentai, užmaskuoti kaip „Microsoft Azure" dvejetainiai failai, ir šoninio judėjimo skriptas. Agentai jungėsi prie komandų ir valdymo serverio adresu azurenetfiles.net — domeno, parinkto taip, kad atrodytų kaip „Azure NetApp Files".

Skriptas, pavadintas [victim]_fanout.sh, platino ataką per SSH, purškdamas užkoduotą naudotojų vardų ir slaptažodžių sąrašą prieš vidinius serverius, paimtus iš /etc/hosts. Po sėkmingo prisijungimo jis palikdavo žymeklį — failą pavadinimu README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT „PeopleSoft" kataloguose.

Komandų istorija rodo, kad duomenys buvo suspausti su zstd ir perduoti per išeinantį SSH ryšį į serverį, kuriame veikė viešas „ShinyHunters" nutekinimo svetainės veidrodis.

Ką daryti, jei jūsų organizacija naudoja „PeopleSoft"

Pirmas ir svarbiausias žingsnis — užrakinti „Environment Management Hub" taškus, kad jie nebūtų pasiekiami iš išorės. „Oracle" pataisos prieinamumo dokumentas yra už palaikymo prisijungimo, ir kol kas neaišku, ar pilna pataisa yra plačiai prieinama. Kol kas gairės koncentruojasi į rizikos mažinimą, o ne pilną sutvarkymą.

„TrendAI Zero Day Initiative" ir „TrendAI Research" tyrėjai yra įskaityti už pažeidžiamumo atradimą ir pranešimą.

Šis incidentas atskleidžia gilesnę problemą, kuri nėra vien techninė. „PeopleSoft" yra dešimtmečius senumo sistema, naudojama šimtuose universitetų visame pasaulyje personalo, studentų ir finansų valdymui. Daugelis institucijų laiko šias sistemas su minimalia priežiūra — biudžetai maži, IT komandos perkrautos, o atnaujinimai atidedami semestrais. „ShinyHunters" tai puikiai žino. Grupuotė jau anksčiau taikėsi į švietimo sektorių — 2024 metais jie nutekino duomenis iš kelių JAV mokyklų rajonų, o 2025-aisiais iš didelės Europos universitetų asociacijos.

455 tūkstančiai unikalių el. pašto adresų iš Notingamo universiteto — tai ne tik skaičius. Tarp jų yra žmonių, kurių pasų numeriai, adresai ir duomenys apie negalias dabar cirkuliuoja pogrindiniuose forumuose. Tokio tipo informacija nėra tai, ką galima pakeisti kaip slaptažodį. Pasas lieka tas pats. Adresas — tas pats. Negalios statusas — tas pats. Tai ilgalaikė žala, kuri nesibaigia po savaitės ar mėnesio.