Oracle a averti ses entreprises clientes qu’il existe une vulnérabilité de niveau critique dans son logiciel PeopleSoft, utilisé par les grandes entreprises pour gérer la paie et les ressources humaines, un jour après qu’un groupe de cybercriminalité s’est attribué le mérite d’avoir abusé de cette faille dans le cadre d’une campagne de piratage massif.
La société a publié jeudi un avis de sécurité après que le groupe de piratage ShinyHunters ait affirmé avoir piraté plus de 100 organisations utilisant les serveurs PeopleSoft.
Mandiant, l’unité de sécurité appartenant à Google qui enquête sur les cyberattaques, a averti dans un article de blog que la nouvelle faille Oracle est le même bug dont le groupe ShinyHunters abuse dans sa campagne de piratage ciblant les clients PeopleSoft.
Oracle, qui n’a pas publié de correctif pour cette vulnérabilité au moment de la rédaction, a déclaré dans l’avis que le bug peut être exploité sur Internet sans avoir besoin d’une quelconque authentification, telle qu’un mot de passe.
Le géant de la technologie a recommandé aux clients qui utilisent le logiciel PeopleSoft d’appliquer ses mesures d’atténuation pour empêcher toute exploitation.
Mercredi, un membre de ShinyHunters a déclaré à TechCrunch que le gang avait compromis les entreprises en abusant d’une faille non corrigée dans les serveurs PeopleSoft. Le bug est connu sous le nom de zero-day car l’entreprise concernée, en l’occurrence Oracle, n’a pas eu le temps de le corriger avant qu’il ne soit découvert et exploité.
Mandiant a confirmé avoir également informé plus de « 100 organisations mondiales », la plupart situées aux États-Unis, dans le but de restreindre l’accès à leurs systèmes potentiellement vulnérables. Le groupe de cybersécurité a déclaré qu’environ les deux tiers de ces organisations sont dans l’enseignement supérieur, ce qui correspond à ce que ShinyHunters avait précédemment affirmé.
« Alors que plusieurs organisations ont réussi à bloquer l’activité ou à corriger les vulnérabilités, d’autres ont été compromises, ce qui a entraîné la publication de données volées sur ShinyHunters (site Web de fuite de données) », a écrit Mandiant.
Oracle n’a pas répondu à la demande de commentaires de TechCrunch.
Contactez-nous
Avez-vous plus d’informations sur cette campagne de piratage ? Ou d’autres violations de données ? Nous aimerions avoir de vos nouvelles. À partir d’un appareil et d’un réseau non professionnels, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou par e-mail.
Le membre de ShinyHunters a déclaré à TechCrunch cette semaine que certaines des organisations piratées sont des universités et des collèges.
Le pirate informatique a partagé un message qui aurait été envoyé à l’une des écoles victimes, dans lequel les pirates affirmaient avoir volé « des centaines de milliers de dossiers d’étudiants contenant le nom complet, l’adresse du domicile, le téléphone, l’e-mail, la date de naissance, le sexe, l’origine ethnique, le statut d’inscription, la moyenne générale, la spécialisation et la carte d’étudiant sur tous les campus », entre autres données.
PeopleSoft et ses clients sont les dernières victimes d’une longue série de campagnes de piratage au cours desquelles le gang ShinyHunters a ciblé des organisations partageant toutes les mêmes logiciels vulnérables.
L’année dernière, le groupe a ciblé plusieurs entreprises qui utilisent Salesforce et Gainsight, ainsi que des logiciels fournis par le géant de l’éducation Instructure, entre autres.
Une fois que les pirates ont identifié les logiciels vulnérables et les entreprises qui les utilisent, ils tentent de voler les données de l’entreprise ou des clients, puis menacent de les divulguer à moins que les victimes ne paient une rançon.
Plus tôt cette année, la société de technologie éducative Instructure a déclaré avoir payé les pirates informatiques après qu’ils aient violé les systèmes de l’entreprise à deux reprises. Dans le cadre de la campagne de piratage, ShinyHunters a dégradé les pages de connexion de plusieurs écoles qui utilisent le populaire portail d’informations scolaires d’Instructure, Canvas.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
