An ninh mạng

Nhóm hacker ShinyHunters khai thác lỗ hổng Zero-day trên Oracle PeopleSoft để tấn công các trường đại học

Nhóm tội phạm mạng ShinyHunters đang lợi dụng một lỗ hổng zero-day nghiêm trọng trong Oracle PeopleSoft để xâm nhập hệ thống, đánh cắp dữ liệu và tống tiền, với mục tiêu chính là các tổ chức giáo...

Nguyen Hung
12 Tháng 6, 2026 2 Min Read
4 0

Nhóm tội phạm mạng chuyên về tống tiền ShinyHunters vừa bị phát hiện khai thác một lỗ hổng bảo mật chưa được vá (zero-day) trong phần mềm Oracle PeopleSoft. Chiến dịch này nhắm mục tiêu chủ yếu vào các trường đại học, cho phép kẻ tấn công xâm nhập hệ thống doanh nghiệp, đánh cắp dữ liệu nhạy cảm và yêu cầu tiền chuộc.

Table Of Content

Chi tiết về lỗ hổng CVE-2026-35273

Lỗ hổng này được định danh là CVE-2026-35273, là một lỗi Remote Code Execution (RCE) trong thành phần Updates Environment Management của PeopleSoft Enterprise PeopleTools. Với điểm số nghiêm trọng 9.8/10, lỗ hổng này không yêu cầu xác thực hay tương tác từ người dùng, kẻ tấn công chỉ cần có quyền truy cập mạng qua HTTP là có thể chiếm quyền điều khiển server.

Theo Google Mandiant, nhóm hacker này được theo dõi dưới tên mã UNC6240. Hoạt động khai thác diễn ra từ ngày 27/5 đến 9/6, trước khi Oracle công bố bản tin bảo mật vào ngày 10/6. Các phiên bản PeopleTools 8.61 và 8.62 được xác nhận là bị ảnh hưởng, cùng với các phiên bản cũ hơn không còn được hỗ trợ.

Phương thức tấn công

Các nhà nghiên cứu phát hiện kẻ tấn công đã để lộ cơ sở hạ tầng của mình, bao gồm các server chạy Python SimpleHTTP để lưu trữ các tệp tin dàn dựng (staging files). Chúng sử dụng các tác nhân quản lý từ xa tùy chỉnh (ngụy trang dưới dạng tệp nhị phân của Microsoft Azure) và các script để di chuyển ngang (lateral movement) trong mạng nội bộ thông qua SSH.

Dữ liệu bị đánh cắp bao gồm thông tin cá nhân của sinh viên và cựu sinh viên như tên, địa chỉ, số điện thoại, số hộ chiếu và các chi tiết về sắc tộc, tình trạng khuyết tật. Đại học Nottingham là một trong những nạn nhân đầu tiên được xác nhận.

Khuyến nghị bảo mật

Oracle và các chuyên gia an ninh mạng khuyến cáo các quản trị viên thực hiện ngay các bước sau:

  • Vô hiệu hóa dịch vụ Environment Management Hub: Tắt dịch vụ này trên các thiết lập đa server hoặc gỡ bỏ hoàn toàn ứng dụng PSEMHUB trên các thiết lập đơn server.
  • Chặn truy cập từ bên ngoài: Nếu không thể gỡ bỏ, hãy chặn quyền truy cập từ bên ngoài vào các endpoint /PSEMHUB/*/PSIGW/HttpListeningConnector tại tường lửa.
  • Kiểm tra dấu hiệu xâm nhập: Rà soát log truy cập WebLogic để tìm các yêu cầu POST bất thường, kiểm tra các tệp .jsp lạ trong thư mục ứng dụng web PSEMHUB, và giám sát lưu lượng SMB outbound trên cổng 445 từ các host PeopleSoft.

Mandiant cảnh báo rằng việc chỉ dựa vào các quy tắc kiểm tra nội dung của WAF là không đủ vì kẻ tấn công có thể tìm cách bypass. Người dùng nên cập nhật bản vá từ Oracle ngay khi có sẵn trên hệ thống My Oracle Support.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept