一场大范围供应链黑客攻击骤然爆发,知名网络犯罪组织ShinyHunters官宣完成一轮规模化入侵行动,瞄准企业主流人力薪酬管理系统Oracle PeopleSoft实施爆破利用。事发仅间隔24小时,软件厂商甲骨文火速面向全球政企客户发布高危安全预警,曝光旗下PeopleSoft人力资源、薪资管理核心软件存在致命严重级安全缺陷,全球海量政企用户直面数据泄露风险。
甲骨文于周四对外正式发布专项安全通告,本次风控预警源于黑客组织公开挑衅式官宣:ShinyHunters对外证实,已借助软件漏洞,成功入侵超100家搭载PeopleSoft服务器的政企组织机构,攻击覆盖面广、受害主体数量庞大。谷歌旗下网络攻防溯源安全团队Mandiant同步发文佐证,本次黑客团伙滥用的攻击入口,正是甲骨文本次紧急通报的同款高危漏洞,攻击链路、漏洞利用方式完全吻合。
本次安全危机最棘手的行业痛点彻底暴露:截至目前,甲骨文尚未研发推送对应漏洞官方修复补丁,无法从根源封堵攻击入口。结合甲骨文官方公告信息,该漏洞具备极强攻击性,支持互联网远端无权限穿透攻击,入侵者无需账号、密码、系统授权等任何身份核验条件,即可远程突破服务器防火墙,入侵后台核心业务数据库,防护门槛几乎形同虚设。
无补丁兜底之下,甲骨文只能给出应急处置方案,强制建议全球PeopleSoft政企客户立刻部署临时缓解风控策略,收紧服务器访问权限、封禁异常外网访问端口,临时拦截漏洞恶意利用行为,降低系统被入侵概率。回溯攻击源头,本周三ShinyHunters内部人员对接TechCrunch独家爆料,本轮攻坚依托一款未公开原生漏洞发起突袭,属于行业危害性拉满的零日漏洞。
所谓零日漏洞,指代厂商尚未察觉、没有调试修复、无防护预案的原生程序缺陷,黑客率先掌握漏洞密钥并发起攻击,软件厂商、终端企业毫无防御窗口期,也是政企软件供应链中最难防控的网络安全隐患。Mandiant安全团队同步启动应急溯源预警,主动触达100余家全球受害及涉险机构,协助关停高危外网通道、隔离风险服务器,遏制攻击进一步扩散。
安全团队溯源数据精准勾勒受害群体画像:本轮超百家涉险机构大半坐落于美国境内,其中三分之二为高等院校、科研教育机构,与黑客组织自爆的攻击目标完全契合。Mandiant披露攻防复盘结果,部分机构应急响应及时,成功拦截入侵行为、隔离风险系统;但大量高校及企业防御滞后,核心数据遭到窃取,海量私密信息已被黑客上架专属数据泄露黑市公开留存。
面对本轮大范围安全舆情与媒体问询,甲骨文全程保持缄默,官方直接回绝TechCrunch全部采访、置评诉求。而黑客方再度放出实锤证据,对外公示一份发送至受害高校的勒索通知,披露盗取校内全域核心隐私数据,囊括数十万条学生档案:姓名、家庭住址、联系方式、邮箱、生辰人种、学籍状态、GPA成绩、所学专业、学生证编号等全维度敏感信息悉数泄露。
事实上本次PeopleSoft供应链攻陷,只是ShinyHunters团伙标准化狩猎套路的最新一环。该黑客组织长期紧盯商用SaaS企业软件赛道,批量挖掘通用软件共性漏洞,实施规模化批量入侵。去年该团伙先后狙击Salesforce、Gainsight商用办公系统,以及头部教育科技服务商Instructure旗下全系产品,专攻通用商业软件下沉客户。
团伙作案商业模式高度固化:锁定存在共性漏洞的商用软件、摸排下游政企使用客户,批量入侵后台数据库盗取员工、用户、学生隐私数据,随后向受害机构下发勒索函,以公开泄密数据为要挟,逼迫企业支付加密货币赎金,交钱即可封存数据,拒绝缴费则全网公开私密信息。
早前该团伙针对教育科技企业Instructure发起两轮连环渗透攻击,旗下Canvas校园门户系统大面积沦陷,多所合作高校官网登录页面遭恶意篡改,系统彻底失控。迫于数据曝光与平台瘫痪双重压力,今年早些时候Instructure官方妥协,向ShinyHunters足额支付勒索金收尾危机,也让该黑客组织愈发聚焦教育、政企人力资源系统发起定向猛攻。