Oracle cảnh báo lỗ hổng bảo mật nghiêm trọng bị tin tặc khai thác để tấn công hơn 100 công ty

Oracle vừa cảnh báo khách hàng doanh nghiệp về một lỗ hổng có mức độ nghiêm trọng cao (critical) trong phần mềm PeopleSoft – nền tảng được các công ty lớn sử dụng để quản lý tiền lương và nhân sự. Thông báo này được đưa ra chỉ một ngày sau khi nhóm tin tặc ShinyHunters nhận trách nhiệm về việc lạm dụng lỗ hổng này để tấn công hàng loạt.

Vào thứ Năm, Oracle đã đăng tải bản tư vấn bảo mật sau khi nhóm ShinyHunters tuyên bố đã xâm nhập thành công hơn 100 tổ chức sử dụng máy chủ PeopleSoft.

Mối đe dọa từ ShinyHunters

Mandiant, đơn vị điều tra tấn công mạng thuộc sở hữu của Google, đã cảnh báo trong một bài đăng trên blog rằng lỗ hổng mới được Oracle phát hiện chính là lỗi mà nhóm ShinyHunters đang sử dụng để nhắm vào khách hàng của PeopleSoft.

Tại thời điểm viết bài, Oracle vẫn chưa phát hành bản vá (patch) chính thức cho lỗ hổng này. Trong bản tư vấn, công ty cho biết lỗi này có thể bị khai thác qua internet mà không cần bất kỳ xác thực nào, chẳng hạn như mật khẩu. Điều này khiến các hệ thống chưa được bảo vệ trở thành mục tiêu dễ dàng.

Gã khổng lồ công nghệ này khuyến nghị các khách hàng đang sử dụng PeopleSoft nên áp dụng ngay các biện pháp giảm thiểu rủi ro mà công ty cung cấp để ngăn chặn việc bị khai thác.

Vào thứ Tư, một thành viên của ShinyHunters cho biết nhóm này đã xâm nhập các công ty bằng cách lợi dụng một lỗ hổng chưa được vá trong máy chủ PeopleSoft. Lỗi này được gọi là zero-day vì nhà sản xuất (trong trường hợp này là Oracle) không có thời gian để khắc phục trước khi nó bị phát hiện và khai tặc.

Quy mô ảnh hưởng

Mandiant xác nhận họ đã thông báo cho hơn "100 tổ chức toàn cầu", phần lớn nằm tại Hoa Kỳ, nhằm hạn chế quyền truy cập vào các hệ thống dễ bị tổn thương của họ. Nhóm an ninh mạng cho biết khoảng hai phần ba trong số các tổ chức này là các cơ sở giáo dục đại học, phù hợp với tuyên bố trước đó của ShinyHunters.

"Mặc dù một số tổ chức đã chặn thành công hoạt động này hoặc khắc phục các lỗ hổng, nhưng những tổ chức khác đã bị xâm phạm, dẫn đến việc dữ liệu bị đánh cắp được công bố trên [Trang web rò rỉ dữ liệu] của ShinyHunters," Mandiant viết.

Oracle chưa phản hồi yêu cầu bình luận từ TechCrunch.

Dữ liệu bị đánh cắp

Thành viên ShinyHunters cho biết một số tổ chức bị tấn công là các trường đại học và cao đẳng. Tin tặc đã chia sẻ một tin nhắn mà họ nói là đã gửi đến một trong các trường nạn nhân, trong đó họ tuyên bố đã đánh cắp "hàng trăm nghìn hồ sơ sinh viên chứa tên đầy đủ, địa chỉ nhà, số điện thoại, email, ngày sinh, giới tính, chủng tộc, tình trạng nhập học, điểm trung bình (GPA), chuyên ngành và mã số sinh viên tại tất cả các cơ sở", cùng với các dữ liệu khác.

PeopleSoft và khách hàng của nó là nạn nhân mới nhất trong một chuỗi dài các chiến dịch tấn công mạng mà nhóm ShinyHunters nhắm vào các tổ chức sử dụng cùng một phần mềm dễ bị tổn thương.

Trong năm qua, nhóm này đã nhắm đến một số công ty sử dụng Salesforce và Gainsight, cũng như phần mềm do gã khổng lồ giáo dục Instructure cung cấp.

Chiến thuật của tin tặc

Sau khi xác định được phần mềm dễ bị tổn thương và các công ty sử dụng nó, tin tặc sẽ cố gắng đánh cắp dữ liệu doanh nghiệp hoặc khách hàng, sau đó đe dọa công bố dữ liệu trừ khi nạn nhân trả tiền chuộc.

Vào đầu năm nay, công ty công nghệ giáo dục Instructure cho biết họ đã trả tiền cho tin tặc sau khi hệ thống của công ty bị xâm nhập hai lần. Trong khuôn khổ chiến dịch tấn công này, ShinyHunters đã làm giả trang đăng nhập của một số trường sử dụng cổng thông tin trường học phổ biến Canvas của Instructure.