Oracle emitió una advertencia sobre una vulnerabilidad crítica en su software PeopleSoft que permitió a hackers infiltrarse en más de 100 empresas. El grupo ShinyHunters reivindicó el ataque y Mandiant confirmó la filtración de datos, afectando principalmente al sector educativo en Estados Unidos.
Oracle emitió una advertencia dirigida a sus clientes corporativos sobre una vulnerabilidad crítica en su software PeopleSoft que permitió a hackers infiltrarse en más de 100 empresas. El aviso, publicado el jueves, se produce tras la declaración pública del grupo de ciberdelincuentes ShinyHunters, que aseguró haber explotado este fallo. La información fue confirmada por la unidad de seguridad Mandiant, propiedad de Google.
La vulnerabilidad afecta al software PeopleSoft, utilizado por grandes empresas para la gestión de nóminas y recursos humanos. Según lo informado por Oracle, el fallo puede ser explotado a través de Internet sin requerir autenticación, lo que implica que no se necesita una contraseña para acceder a los sistemas comprometidos.
El grupo ShinyHunters manifestó a TechCrunch que logró acceder a los sistemas de más de un centenar de compañías aprovechando una “vulnerabilidad de día cero”. Oracle aún no ha publicado una actualización de seguridad que corrija este problema, aunque recomendó a sus clientes implementar medidas de mitigación.
Universidades y centros educativos, entre los principales afectados
De acuerdo con Mandiant, aproximadamente dos tercios de las organizaciones notificadas tras el ataque pertenecen al sector de la educación superior, principalmente en Estados Unidos. La empresa de ciberseguridad afirmó que ha contactado a más de 100 instituciones para restringir el acceso a sus sistemas potencialmente vulnerables.
Un miembro de ShinyHunters compartió con el medio un mensaje dirigido a una de las escuelas afectadas, donde afirma haber obtenido “cientos de miles de registros de estudiantes que contenían nombre completo, dirección particular, teléfono, correo electrónico, fecha de nacimiento, género, etnia, estado de matriculación, promedio de calificaciones, especialidad e identificación de estudiante en todos los campus”. Parte de esta información fue publicada en el sitio web de filtraciones de datos gestionado por el grupo, según indicó Mandiant.
Respuestas y antecedentes: la persistencia de los ataques
“Si bien varias organizaciones lograron bloquear la actividad o corregir las vulnerabilidades, otras sufrieron filtraciones”, detalló Mandiant en su blog, señalando la publicación de datos sensibles tras los ataques. El historial de ShinyHunters incluye acciones previas contra empresas como Salesforce, Gainsight y el gigante educativo Instructure.
A principios de este año, Instructure admitió que pagó un rescate después de sufrir dos incidentes de seguridad vinculados a este grupo. En ese contexto, los atacantes modificaron páginas de inicio de sesión de varias escuelas que utilizan Canvas.
Medidas tomadas y recomendaciones para clientes de Oracle
En su aviso oficial, Oracle instó a los usuarios de PeopleSoft a aplicar las medidas de mitigación propuestas hasta disponer de un parche definitivo. La compañía subrayó que el fallo puede explotarse remotamente y representa un riesgo para los datos personales y corporativos almacenados en los sistemas afectados.
Mandiant advirtió que la publicación de datos robados ya está en curso y recomendó a las empresas afectadas revisar sus sistemas y reforzar sus políticas de seguridad.