Oracle phát hành biện pháp khắc phục lỗ hổng PeopleSoft giữa tin tức về các cuộc tấn công Zero-Day

Oracle đã phát hành một cảnh báo bảo mật ngoài lịch trình vào thứ Năm nhằm giải quyết một lỗ hổng trong phần mềm PeopleSoft, cho phép kẻ tấn công chưa được xác thực có thể thực thi mã từ xa (remote code execution).

Oracle PeopleSoft

Cảnh báo an ninh này được đưa ra trong bối cảnh có các báo cáo cho biết nhóm hacker ShinyHunters nổi tiếng đang nhắm vào các tổ chức sử dụng PeopleSoft. PeopleSoft là bộ phần mềm hoạch định nguồn lực doanh nghiệp (ERP) tích hợp được các tổ chức lớn sử dụng rộng rãi để quản lý các chức năng cốt lõi của doanh nghiệp, bao gồm nhân sự, bảng lương, tài chính, chuỗi cung ứng và hoạt động trường học.

Lỗ hổng mới được công bố có mã định danh là CVE-2026-35273. Oracle cho biết đây là một vấn đề nghiêm trọng ảnh hưởng đến các phiên bản PeopleSoft Enterprise PeopleTools 8.61 và 8.62. Người dùng của PeopleSoft Enterprise Applications cũng có thể bị ảnh hưởng.

Biện pháp giảm thiểu thay vì bản vá đầy đủ

Dường như Oracle hiện tại chỉ mới phát hành các biện pháp giảm thiểu (mitigations) thay vì một bản vá (patch) hoàn chỉnh cho lỗ hổng này.

Oracle chưa xác nhận rõ ràng liệu CVE-2026-35273 có đang bị khai thác dưới dạng zero-day trong thế giới thực hay không, nhưng trong bản tư vấn, công ty lưu ý: "Chúng tôi coi việc triển khai các biện pháp giảm thiểu được khuyến nghị là một biện pháp giảm rủi ro ưu tiên cao và khuyên mạnh bạn nên hành động ngay lập tức để giải quyết lỗ hổng đã xác định."

Các cuộc tấn công của ShinyHunters

Bleeping Computer và TechCrunch đã nhận được thông tin từ các hacker tự nhận là liên kết với nhóm ShinyHunters rằng họ đã nhắm mục tiêu vào 300 phiên bản PeopleSoft thuộc về hơn 100 tổ chức.

Các hacker này tuyên bố đã xâu chuỗi các lỗ hổng cũ và lỗ hổng zero-day để truy cập dữ liệu được lưu trữ trong các môi trường PeopleSoft bị nhắm mục tiêu. Các cuộc tấn công dường như đã được một nhà nghiên cứu xác nhận, và Charles Carmakal, CTO của Mandiant, cũng đã cảnh báo về việc khai thác zero-day.

Việc ShinyHunters nhắm vào phần mềm được sử dụng rộng rãi bởi các doanh nghiệp lớn để đánh cắp dữ liệu nhằm sau đó tống tiền nạn nhân không có gì là ngạc nhiên. Những tội phạm mạng này trước đây từng nhắm vào khách hàng của Salesforce trong một chiến dịch đánh cắp dữ liệu quy mô lớn.

Bleeping Computer đưa tin rằng lĩnh vực giáo dục bị ảnh hưởng nặng nề nhất, và Đại học Nottingham là một trong số các nạn nhân. Đại học này đã xác nhận rằng họ đã bị vi phạm dữ liệu nghiêm trọng.

Trong khi bản tư vấn của Oracle không đề cập đến việc khai thác, nhưng việc công ty bỏ qua việc xác nhận các cuộc tấn công trong thế giới thực trong tài liệu công cộng của họ không phải là điều hiếm gặp.

Tin tức này xuất hiện không lâu sau khi CISA (Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Hoa Kỳ) cảnh báo về một lỗ hổng Oracle WebLogic năm 2024 đang bị khai thác trong tự nhiên.