Oracle向企业客户发出警告,称其PeopleSoft软件存在一个严重级别的安全漏洞。PeopleSoft被众多大型企业用于管理薪资和人力资源。就在Oracle发出警告前一天,黑客组织ShinyHunters宣称已利用该漏洞实施了大规模入侵行动。
Oracle于周四发布安全公告。此前,黑客组织ShinyHunters声称已成功入侵超过100家使用PeopleSoft服务器的企业。
谷歌旗下负责网络攻击调查的安全机构Mandiant在一篇博客文章中警告称,Oracle此次披露的漏洞,正是ShinyHunters用于攻击PeopleSoft客户的同一安全漏洞。
Oracle目前尚未发布针对该漏洞的修复补丁。公告指出,攻击者无需任何身份验证(例如密码),即可通过互联网直接利用该漏洞发起攻击。Oracle建议使用PeopleSoft软件的客户立即采取相应的缓解措施,以防止遭到攻击。
本周早些时候,一名ShinyHunters成员向TechCrunch透露,该黑客组织正是通过利用PeopleSoft服务器中一个未修复的漏洞来入侵相关企业。由于漏洞在被发现并遭到利用时,Oracle尚未来得及修复,因此这一漏洞被称为"零日漏洞"。
Mandiant证实,已向逾100家全球组织发出通知,这些组织大多位于美国,提醒它们限制对潜在脆弱系统的访问。Mandiant还表示,其中约三分之二的受影响组织来自高等教育机构,这与ShinyHunters此前所声称的情况相吻合。
Mandiant在报告中写道:"尽管部分组织成功阻止了攻击行为或修复了漏洞,但仍有一些组织遭到入侵,导致被盗数据被发布在ShinyHunters的数据泄露网站上。"
Oracle未就TechCrunch的置评请求作出回应。
ShinyHunters成员本周向TechCrunch透露,被入侵的组织中包括多所大学和学院。该黑客还分享了一条据称发送给某受害学校的信息。在这条信息中,黑客声称已从各校区窃取了"数十万条学生记录,包含全名、家庭地址、电话、电子邮件、出生日期、性别、种族、入学状态、GPA、专业及学生证号"等数据。
PeopleSoft及其用户,是ShinyHunters黑客组织一系列大规模入侵活动中的最新受害者。此前,该组织频繁锁定共用同一存在漏洞软件的多家企业发动攻击。
在过去一年中,ShinyHunters曾针对多家使用Salesforce和Gainsight服务的公司发动攻击,以及教育巨头Instructure提供软件服务的相关企业。
黑客的惯用手法是:一旦发现存在漏洞的软件及使用该软件的企业,便尝试窃取企业或客户数据,随后以公开数据相威胁,迫使受害者支付赎金。
今年早些时候,教育科技公司Instructure表示,在其系统两度遭到入侵后,该公司已向黑客支付了赎金。在此次攻击行动中,ShinyHunters还篡改了多所学校使用Instructure旗下热门校园信息门户Canvas的登录页面。
Q&A
Q1:Oracle PeopleSoft漏洞有多严重?攻击者需要账号密码吗?
A:此次Oracle PeopleSoft漏洞被评定为严重级别。根据Oracle发布的安全公告,攻击者无需任何身份验证(如密码),即可通过互联网直接利用该漏洞发起攻击。目前Oracle尚未发布修复补丁,仅建议客户采取缓解措施以降低风险。由于漏洞在被发现时企业尚未来得及修复,因此属于"零日漏洞",危险程度较高。
Q2:ShinyHunters这次入侵行动中,究竟窃取了哪些数据?
A:根据黑客向受害学校发送的信息,ShinyHunters声称窃取了数十万条学生记录,涵盖全名、家庭地址、电话号码、电子邮件、出生日期、性别、种族、入学状态、GPA、专业及学生证号等敏感信息。Mandiant确认,被通知的受影响组织中约三分之二来自高等教育机构,部分组织已确认遭到入侵,数据被发布在ShinyHunters的数据泄露网站上。
Q3:ShinyHunters黑客组织惯用的攻击手法是什么?
A:ShinyHunters的惯用手法是锁定存在共同漏洞的软件,批量攻击使用该软件的企业或机构,窃取企业或客户数据后,以公开数据相威胁,要求受害者支付赎金。过去一年中,该组织曾攻击使用Salesforce、Gainsight及Instructure软件的企业,教育科技公司Instructure在系统两度被入侵后已向黑客支付了赎金。
好文章,需要你的鼓励
美国最高法院以6比3的投票结果,裁定手机位置信息受第四修正案隐私权保护。法院认为,用户在使用谷歌等科技公司服务时,并非主动共享位置数据,因此执法机构在申请地理围栏搜查令时,必须证明存在"合理犯罪嫌疑"并获得法院批准。此裁决虽未完全禁止地理围栏搜查令,但对其使用范围加以限制,对美国执法实践及隐私保护具有深远影响。
南加州大学团队发现语音抑郁检测领域存在数据漏洞,并提出CLeaD跨语言对比对齐框架,揭示模型规模越大跨语言性能越差的反直觉规律。
佛罗里达州男子Angelo Martino以网络安全公司勒索软件谈判员身份为掩护,与黑客合谋部署BlackCat勒索软件攻击美国企业,被判处逾五年有期徒刑。美国司法部同时没收其逾1000万美元加密货币及资产。Martino与Kevin Martin、Ryan Goldberg三人于2023年联手实施多起攻击,其中一次成功勒索约120万美元后三人平分。BlackCat曾于2024年2月入侵医疗巨头Change Healthcare,导致逾1.92亿人敏感数据外泄。
KAIST等机构提出3D HAMSTER,通过为视觉语言模型加入深度编码器和几何重建损失,让机器人规划器直接输出三维轨迹,解决了分层机器人系统中规划与执行的维度不匹配问题,显著提升了操作鲁棒性。