Oracle PeopleSoft'ta Kritik Sıfırıncı Gün: ShinyHunters 100'den Fazla Kurumu Hedef Aldı

Kurumsal yazılım devi Oracle'ın üniversite ve devlet kurumlarının yoğun şekilde kullandığı PeopleSoft PeopleTools platformunda keşfedilen kritik bir sıfırıncı gün açığı, siber güvenlik dünyasını alarma geçirdi. Google Cloud bünyesindeki siber istihbarat ekibi Mandiant, CVE-2026-35273 kodlu ve CVSS 9.8 puanıyla "kritik" seviyede değerlendirilen güvenlik açığının, 27 Mayıs – 9 Haziran tarihleri arasında tanınmış fidye yazılımı ve veri sızıntısı grubu ShinyHunters (Mandiant takip adıyla UNC6240) tarafından aktif olarak istismar edildiğini resmi olarak doğruladı. Saldırganların söz konusu açığı kullanarak kimlik doğrulama gerektirmeden uzak sistemlere tam erişim sağladığı bildirildi.

Açığın istismar vektörü, PeopleSoft'un PSEMHUB adı verilen uç noktası üzerinden gerçekleşiyor. EMHub (Enterprise Management Hub) bileşeninde bulunan güvenlik kusuru, saldırganların herhangi bir hesap bilgisi olmaksızın sunucu üzerinde uzaktan kod yürütmesine (RCE) olanak tanıyor. Mandiant'ın teknik analizine göre, UNC6240 kod adlı aktör, sistemlere ilk erişimi sağladıktan sonra yatay hareket kabiliyeti elde ederek hassas veritabanlarına ulaşmış ve son aşamada çalınan verileri sızdırmak üzere dışarıya aktarmış. Saldırının teknik karmaşıklığı, ShinyHunters'ın yalnızca bir veri hırsızı olmadığını, aynı zamanda gelişmiş kalıcı tehdit (APT) benzeri yeteneklere sahip olduğunu bir kez daha gözler önüne serdi.

Nottingham Üniversitesi'nde 455 Bin Kişisel Kayıt Sızdırıldı

Aynı kampanyanın en çarpıcı kurbanlarından biri, Birleşik Krallık'ın köklü eğitim kurumlarından Nottingham Üniversitesi oldu. Üniversite yönetimi, yaptığı resmi açıklamada 454.600 öğrenci, mezun ve başvuru sahibine ait kişisel verilerin saldırganlar tarafından ele geçirildiğini doğruladı. Sızan veriler arasında isim, adres, doğum tarihi, iletişim bilgileri ve akademik kayıtların yer aldığı belirtiliyor. Üniversite, etkilenen kişilere bilgilendirme mailleri göndermeye başlarken, Birleşik Krallık Bilgi Komiserliği Ofisi'ne (ICO) ve Ulusal Siber Güvenlik Merkezi'ne (NCSC) bildirimde bulunduğunu açıkladı.

Mandiant araştırmacıları, ShinyHunters'ın bu kampanyada yalnızca Nottingham'ı değil, 100'den fazla eğitim, kamu ve sağlık kuruluşunu hedef aldığını tespit etti. Grubun kullandığı saldırı altyapısının, daha önce Snowflake veri ihlalleriyle de ilişkilendirildiği bildirildi. Saldırganların PeopleSoft sistemlerine sızdıktan sonra Salesloft, Drift ve AWS gibi üçüncü taraf entegrasyonlarını da istismar ederek veri akışını genişlettiği ortaya çıktı. Bu durum, tedarik zinciri güvenliğinin kurumsal savunma stratejilerindeki kritik önemini bir kez daha hatırlattı.

Oracle Hâlâ Yama Yayımlamadı: Savunma Tarafının Önerileri

Siber güvenlik camiasını en çok endişelendiren noktalardan biri, Oracle'ın açığın doğrulanmasının üzerinden haftalar geçmesine rağmen henüz resmi bir yama yayımlamamış olması. Şirketin CVE kaydı üzerinde "under investigation" (soruşturma altında) ifadesinin ötesine geçmemesi, kurumları kendi savunma önlemlerini almaya itti. Mandiant ve CERT koordinasyon ekipleri, savunma tarafı için acil eylem planı yayımladı.

Uzmanların açık kaynak kodlu önerileri şu şekilde sıralanıyor:

• EMHub servisinin devre dışı bırakılması: Acil müdahale olarak PSEMHUB uç noktasının tamamen kapatılması veya erişimin yalnızca güvenilir IP adresleriyle sınırlandırılması öneriliyor.
• Ağ segmentasyonu: PeopleSoft uygulama sunucularının, internete doğrudan açık olmayan ayrı VLAN'larda izole edilmesi gerekiyor.
• WAF ve IPS kuralları: Bilinen istismar imzalarını tespit edebilecek Web Application Firewall ve Saldırı Önleme Sistemi kurallarının devreye alınması tavsiye ediliyor.
• Log analizi: 27 Mayıs öncesi döneme kadar geriye dönük olarak EMHub erişim loglarının incelenmesi ve şüpheli komut çalıştırma izlerinin taranması kritik önem taşıyor.
• Kimlik bilgisi rotasyonu: Tüm yönetici hesaplarının parolaları ile API anahtarlarının acilen değiştirilmesi isteniyor.

Oracle cephesinden henüz resmi bir yama takvimi paylaşılmamış olsa da, şirketin Temmuz ayındaki rutin Critical Patch Update (CPU) döngüsünde açığı kapatması bekleniyor. Ancak siber güvenlik uzmanları, 9.8 seviyesindeki bir açık için iki aydan uzun süren bir bekleme süresinin kabul edilemez olduğunu vurguluyor. Bu arada ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), açığı KKEK (Known Exploited Vulnerabilities) kataloğuna eklemeyi değerlendirdiğine dair sinyaller verdi. ShinyHunters'ın bir sonraki hedefinin kim olacağı ise, sektördeki en sıcak tartışma konularından biri olmaya devam ediyor.