В корпоративному ПЗ Oracle знайшли критичну вразливість, яку вендор поки не може закрити
Компанія Oracle попередила клієнтів про критичну вразливість у своєму корпоративному ПЗ PeopleSoft, яку хакери вже активно використовували для масштабних атак на організації по всьому світу, повідомляє TechCrunch. За оцінками Google та фахівців із кібербезпеки, потенційно постраждали понад 100 компаній та установ.
У центрі інциденту опинилася кіберзлочинна група ShinyHunters, яка скористалася так званою «zero-day» вразливістю − помилкою, про яку виробник ще не знав або не встиг випустити виправлення. Зловмисники отримували доступ до серверів Oracle PeopleSoft через Інтернет без необхідності автентифікації, що робило атаку особливо небезпечною. Вразливість отримала ідентифікатор CVE-2026-35273 та критичну оцінку CVSS 9,8 із 10 можливих балів.
PeopleSoft широко використовується для управління кадровими ресурсами, фінансами, зарплатами та логістикою. Саме тому успішне проникнення дає змогу отримати доступ до великого обсягу конфіденційної корпоративної інформації. За даними Google Mandiant, близько 68% виявлених потенційних жертв належать до освітнього сектору США, зокрема університетів і коледжів.
Під час атак хакери встановлювали на скомпрометовані системи спеціально модифіковані агенти MeshCentral, замасковані під легітимні хмарні сервіси. Це дозволяло їм виконувати адміністративні команди, закріплюватися в мережі та готуватися до подальшого викрадення даних або вимагання викупу.
Google повідомила, що оперативно попередила понад 100 організацій, чиї сервери могли бути вразливими. Водночас Oracle опублікувала екстрене попередження щодо безпеки, але на момент виходу новини повноцінний патч для усунення проблеми ще не був доступний.
Цей інцидент вкотре демонструє, що корпоративні платформи на кшталт Oracle PeopleSoft стають дедалі привабливішою ціллю для кіберзлочинців. Замість атак на окремі компанії хакери дедалі частіше шукають критичні вразливості у популярному бізнес-ПЗ, що дозволяє одночасно отримати доступ до десятків або навіть сотень організацій.
Раніше ми писали, що Oracle будує датацентри, які застарівають вже на момент проектування.
