Oracle PeopleSoft 爆發零時差漏洞：駭客組織 ShinyHunters 已滲透全球逾百家企業

Oracle PeopleSoft 遭鎖定，零時差漏洞威脅企業安全

甲骨文（Oracle）近日發布安全公告，證實其企業級軟體 PeopleSoft 存在一項關鍵安全漏洞。該軟體廣泛應用於大型企業的人力資源與薪資管理系統。這項公告發布於駭客組織 ShinyHunters 宣稱已成功利用此漏洞，大規模入侵超過 100 家使用該系統的組織之後。

隸屬於 Google 的資安研究單位 Mandiant 在部落格中明確指出，ShinyHunters 目前正利用此項漏洞對 PeopleSoft 客戶發動攻擊。由於在公告發布當下，Oracle 尚未釋出任何修補程式，這屬於典型的「零時差（Zero-day）」攻擊，意味著受害企業在漏洞被發現並遭利用前，幾乎沒有防禦時間。

無須密碼即可入侵，教育機構受災最深

根據 Oracle 的安全建議，此漏洞允許駭客在網際網路環境下，無須任何密碼等認證機制即可直接存取系統。Mandiant 表示，他們已通知超過 100 家全球組織以限制其脆弱系統的存取權限，其中約有三分之二的受害者屬於高等教育領域，這與 ShinyHunters 先前對外宣稱的目標相符。

雖然部分組織成功阻擋了攻擊活動或修復了漏洞，但仍有其他機構遭到滲透，導致資料被竊並發布於 ShinyHunters 的資料外洩網站上。

駭客組織成員向《TechCrunch》透露，他們已從受害學校竊取了數十萬筆學生個資，內容涵蓋姓名、住址、電話、電子郵件、出生日期、性別、族裔、入學狀態、GPA、主修科目及學生 ID 等敏感資訊。

ShinyHunters 的慣用手法：鎖定特定軟體進行勒索

ShinyHunters 近年來頻繁鎖定使用特定軟體的企業進行大規模攻擊。該組織的手法通常是先識別出存在漏洞的軟體，入侵後竊取企業或客戶資料，隨後以公開資料作為威脅，要求受害者支付贖金。

回顧過去一年，該組織曾多次攻擊使用 Salesforce、Gainsight 以及教育科技公司 Instructure 產品的企業。其中，Instructure 今年稍早曾證實，在系統兩度遭駭後已支付贖金，當時該組織甚至篡改了 Instructure 旗下熱門學校資訊入口網站 Canvas 的登入頁面。

針對此次 PeopleSoft 漏洞事件，Oracle 目前尚未對媒體置評，僅建議客戶採取相關緩解措施以防止攻擊發生。