Oracle advierte sobre un error de seguridad aprovechado por piratas informáticos para acceder a más de 100 empresas

Oracle advirtió a sus clientes comerciales sobre una vulnerabilidad considerada crítica en su software PeopleSoft, que las grandes empresas utilizan para la gestión de nóminas y recursos humanos, un día después de que un grupo de cibercrimen se atribuyó el mérito de explotar la falla como parte de una campaña masiva de piratería informática.

La compañía emitió un aviso de seguridad el jueves después de que el grupo de hackers ShinyHunters afirmara haber comprometido a más de 100 organizaciones que utilizan servidores PeopleSoft.

Mandiant, la división de seguridad de Google que investiga los ataques cibernéticos, advirtió en una publicación de blog que la nueva falla de Oracle es el mismo error que el grupo ShinyHunters está explotando en una campaña de piratería dirigida a los clientes de PeopleSoft.

Oracle no ha publicado un parche para la vulnerabilidad al momento de escribir este artículo, pero el aviso indica que el error se puede explotar a través de Internet sin requerir ninguna contraseña u otra autenticación.

El gigante tecnológico recomendó que los clientes que utilizan el software PeopleSoft apliquen sus mitigaciones para evitar la explotación.

El miércoles, miembros de ShinyHunters dijeron a TechCrunch que la pandilla aprovechó fallas sin parches en los servidores de PeopleSoft para comprometer a las empresas. Este error se conoce como día cero. Esto se debe a que la empresa afectada, en este caso Oracle, no tuvo tiempo de remediarlo antes de que fuera descubierto y explotado.

Mandiant también reconoció que había notificado a «más de 100 organizaciones globales» (la mayoría de ellas en Estados Unidos) para restringir el acceso a sistemas potencialmente vulnerables. El grupo de ciberseguridad dice que alrededor de dos tercios de estas organizaciones tienen educación superior, lo que concuerda con las afirmaciones anteriores de Shiny Hunters.

«Si bien algunas organizaciones lograron detener la actividad o remediar vulnerabilidades, otras se vieron comprometidas, lo que resultó en la publicación de datos robados en ShinyHunters (un sitio web de violación de datos)», escribió Mandiant.

Oracle no respondió a la solicitud de comentarios de TechCrunch.

Los miembros de ShinyHunters dijeron a TechCrunch esta semana que algunas de las organizaciones pirateadas incluyen universidades.

Los piratas informáticos compartieron un mensaje supuestamente enviado a una de las escuelas afectadas, en el que afirmaban haber robado datos que incluían «cientos de miles de registros de estudiantes, incluidos nombres, domicilios, números de teléfono, correos electrónicos, fechas de nacimiento, género, origen étnico, estado de inscripción, GPA, especialidades e identificaciones de estudiantes para todos los campus».

PeopleSoft y sus clientes son las últimas víctimas de una larga serie de campañas de piratería informática de la banda ShinyHunters dirigidas a organizaciones que comparten el mismo software vulnerable.

El año pasado, el grupo se centró en varias empresas que utilizan software de empresas como Salesforce, Gainsight y el gigante educativo Instructor.

Una vez que los piratas informáticos identifican el software vulnerable y las empresas que lo utilizan, intentan robar datos de la empresa y de los clientes, amenazando con revelarlos a menos que la víctima pague un rescate.

A principios de este año, la empresa de tecnología educativa Instructure anunció que había pagado a los piratas informáticos después de que violaron sus sistemas dos veces. Como parte de una campaña de piratería, ShinyHunters desfiguró las páginas de inicio de sesión de varias escuelas utilizando el popular portal de información escolar de Instructural, Canvas.