Oracle alerta sobre vulnerabilidad que hackers explotaron en más de 100 empresas

Oracle advirtió a sus clientes corporativos sobre una vulnerabilidad crítica en su software PeopleSoft, utilizado por grandes empresas para gestionar nómina y recursos humanos, un día después de que un grupo de cibercriminales asumiera la responsabilidad de abusar de esta falla como parte de una campaña masiva de hackeo.

La compañía publicó el aviso de seguridad el jueves, tras la afirmación del grupo ShinyHunters de haber comprometido más de 100 organizaciones que utilizan servidores PeopleSoft.

Mandiant, la unidad de seguridad de Google que investiga ciberataques, advirtió en una publicación de blog que el nuevo fallo de Oracle es el mismo que el grupo ShinyHunters está abusando en su campaña de hackeo dirigida a los clientes de PeopleSoft.

Oracle, que no ha lanzado un parche para la vulnerabilidad hasta el momento de escribir este artículo, indicó en el aviso que el fallo puede ser explotado a través de internet sin necesidad de autenticación, como una contraseña.

La gigante tecnológica recomendó a los clientes que utilizan el software PeopleSoft aplicar sus mitigaciones para prevenir la explotación.

El miércoles, un miembro de ShinyHunters dijo a TechCrunch que la pandilla comprometió las empresas al abusar de un fallo no parcheado en los servidores de PeopleSoft. El bug es conocido como un zero-day porque la empresa afectada, en este caso Oracle, no tuvo tiempo para solucionarlo antes de que fuera descubierto y explotado.

Mandiant confirmó que también notificó a más de "100 organizaciones globales", la mayoría de ellas en los Estados Unidos, en un esfuerzo por restringir el acceso a sus sistemas potencialmente vulnerables. El grupo de ciberseguridad mencionó que aproximadamente dos tercios de estas organizaciones se encuentran en la educación superior, lo que coincide con lo que ShinyHunters había afirmado anteriormente.

“Mientras varias organizaciones bloquearon con éxito la actividad o remediaron las vulnerabilidades, otras experimentaron compromisos, lo que resultó en el robo de datos que fueron publicados en el sitio de filtración de datos de ShinyHunters”, escribió Mandiant.

Oracle no respondió a la solicitud de comentarios de TechCrunch.

El miembro de ShinyHunters mencionó a TechCrunch esta semana que algunas de las organizaciones hackeadas son universidades y colegios.

El hacker compartió un mensaje que dijeron fue enviado a una de las escuelas víctimas, en el que afirmaron haber robado "cientos de miles de registros de estudiantes que contienen nombre completo, dirección, teléfono, correo electrónico, fecha de nacimiento, género, etnicidad, estado de inscripción, GPA, especialidad y número de identificación de estudiante en todos los campus", entre otros datos.

PeopleSoft, y sus clientes, son las últimas víctimas de una larga serie de campañas de hackeo donde la pandilla ShinyHunters ha apuntado a organizaciones que comparten el mismo software vulnerable.

En el último año, el grupo ha atacado a varias empresas que utilizan Salesforce y Gainsight, así como software proporcionado por Instructure, entre otros.

Una vez que los hackers identifican software vulnerable y empresas que lo utilizan, intentan robar datos corporativos o de clientes y luego amenazan con liberarlos a menos que las víctimas paguen un rescate.

A principios de este año, la empresa de tecnología educativa Instructure dijo que pagó a los hackers después de que comprometieran los sistemas de la empresa en dos ocasiones. Como parte de la campaña de hackeo, ShinyHunters desfiguró las páginas de inicio de sesión de varias escuelas que utilizan el popular portal de información escolar Canvas de Instructure.