ShinyHunters khai thác lỗ hổng Oracle PeopleSoft tấn công hơn 100 tổ chức

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
141
1.976 bài viết
ShinyHunters khai thác lỗ hổng Oracle PeopleSoft tấn công hơn 100 tổ chức
WhiteHat Team
Một chiến dịch tấn công mạng quy mô lớn vừa bị phát hiện đang nhắm vào các hệ thống Oracle PeopleSoft trên toàn cầu. Nhóm tin tặc khét tiếng ShinyHunters được cho là đã lợi dụng một lỗ hổng zero-day nghiêm trọng để xâm nhập, đánh cắp dữ liệu và tống tiền hơn 100 tổ chức, phần lớn thuộc lĩnh vực giáo dục và đào tạo.
d038c81f-79bd-4216-a79d-992bcc074564.png

Theo các nhà nghiên cứu từ Google Threat Intelligence Group (GTIG) và Mandiant, chiến dịch diễn ra từ cuối tháng 5 đến đầu tháng 6/2026, trước cả khi Oracle công bố cảnh báo bảo mật chính thức. Điều này đồng nghĩa tin tặc đã khai thác lỗ hổng dưới dạng zero-day, chưa có bản vá hay biện pháp phòng vệ đầy đủ vào thời điểm tấn công xảy ra.

Lỗ hổng bị khai thác được định danh là CVE-2026-35273, có điểm CVSS 9,8/10, thuộc nhóm cực kỳ nghiêm trọng. Lỗi ảnh hưởng đến Oracle PeopleSoft Enterprise PeopleTools phiên bản 8.61 và 8.62, đặc biệt là thành phần Environment Management. Đây là nền tảng ERP được nhiều trường đại học, tập đoàn và tổ chức tài chính sử dụng để quản lý nhân sự, bảng lương, tài chính, chuỗi cung ứng và dữ liệu sinh viên.

Điểm nguy hiểm của lỗ hổng nằm ở việc kẻ tấn công có thể thực hiện thực thi mã từ xa mà không cần xác thực. Chỉ cần hệ thống PeopleSoft được mở ra internet, hacker có thể gửi yêu cầu HTTP độc hại để chiếm quyền điều khiển máy chủ từ xa. Các chuyên gia cho biết nhóm ShinyHunters đã kết hợp lỗ hổng mới với một “gadget chain” nhằm vượt qua các cơ chế bảo vệ và chiếm toàn quyền hệ thống.

Sau khi xâm nhập, nhóm tấn công triển khai các công cụ quản trị từ xa như MeshCentral được ngụy trang thành dịch vụ đám mây hợp pháp nhằm che giấu hoạt động điều khiển hệ thống. Các máy chủ bị xâm nhập sau đó bị đánh cắp dữ liệu và để lại thông điệp tống tiền.

Theo Google và Mandiant, hơn 100 tổ chức đã được cảnh báo vì có dấu hiệu phơi nhiễm hoặc bị khai thác. Khoảng 68% nạn nhân thuộc lĩnh vực giáo dục đại học tại Mỹ. Một số trường đại học đã xác nhận xảy ra sự cố rò rỉ dữ liệu.

Thông tin từ giới nghiên cứu cho thấy dữ liệu bị đánh cắp có thể bao gồm:​
  • Hồ sơ sinh viên và cựu sinh viên​
  • Thông tin tài chính và học phí​
  • Dữ liệu nhân sự và bảng lương​
  • Hồ sơ nhập cư, địa chỉ, email, số điện thoại​
  • Thông tin quản trị nội bộ và tài liệu vận hành hệ thống​
Giới chuyên gia đánh giá đây là một trong những chiến dịch tấn công đáng chú ý nhất năm 2026 vì nhắm vào nền tảng ERP doanh nghiệp quy mô lớn. Không giống các vụ lừa đảo thông thường, PeopleSoft thường chứa dữ liệu cốt lõi của tổ chức. Một khi bị xâm nhập, hacker có thể tiếp cận đồng thời nhiều hệ thống liên quan như HR, tài chính, quản trị sinh viên và hạ tầng xác thực nội bộ.

Đáng chú ý, Oracle hiện mới phát hành biện pháp giảm thiểu (mitigation) chứ chưa tung bản vá hoàn chỉnh cho tất cả hệ thống bị ảnh hưởng. Các chuyên gia cảnh báo khoảng thời gian “chưa có patch chính thức” thường là giai đoạn nguy hiểm nhất vì mã khai thác có thể nhanh chóng lan rộng trong giới tội phạm mạng.

Các chuyên gia an ninh mạng khuyến nghị các tổ chức đang sử dụng PeopleSoft cần khẩn cấp:​
  • Rà soát các máy chủ PeopleSoft đang public internet​
  • Áp dụng ngay biện pháp giảm thiểu do Oracle phát hành​
  • Theo dõi bất thường tại các endpoint PSEMHUB​
  • Kiểm tra log truy cập từ cuối tháng 5/2026 đến nay​
  • Tìm dấu hiệu thực thi lệnh trái phép hoặc công cụ MeshCentral​
  • Hạn chế truy cập trực tiếp từ internet nếu không thực sự cần thiết​
  • Chuẩn bị phương án ứng phó sự cố và đánh giá nguy cơ rò rỉ dữ liệu​
Ngoài ra, các tổ chức giáo dục, tài chính và doanh nghiệp lớn cần đặc biệt chú ý vì đây đang là nhóm mục tiêu chính của chiến dịch này. Những hệ thống ERP cũ, chưa cập nhật hoặc cấu hình mở ra internet sẽ có nguy cơ bị khai thác cao hơn nhiều.

Vụ việc cũng cho thấy xu hướng mới của các nhóm tội phạm mạng hiện nay: thay vì phát tán mã độc diện rộng, chúng tập trung săn lùng lỗ hổng trong các nền tảng doanh nghiệp trọng yếu để thực hiện các cuộc tấn công “một lần nhưng ảnh hưởng hàng loạt”. Khi một phần mềm quản trị phổ biến như PeopleSoft bị khai thác zero-day, hậu quả có thể lan rộng tới hàng trăm tổ chức chỉ trong vài ngày.​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Microsoft cảnh báo lỗ hổng Exchange Server đang bị khai thác qua email
  • Langflow dính lỗ hổng nghiêm trọng, hacker đã bắt đầu khai thác thực tế
  • CISA cảnh báo lỗ hổng zero-day trên Chromium đang bị khai thác thực tế
  • Patch Tuesday tháng 6: Microsoft vá 198 lỗ hổng, xử lý 3 zero-day đang bị khai thác
  • CISA cảnh báo lỗ hổng Magento đang bị khai thác, nguy cơ chiếm quyền máy chủ từ xa
  • CISA cảnh báo lỗ hổng WebLogic đang bị khai thác, cho phép tin tặc truy cập trái phép hệ thống
    • Thẻ
    cve-2026-35273 peoplesoft shinyhunters
    Bên trên