Oracle, 100'den fazla şirkete zarar veren tehlikeli bir güvenlik açığı konusunda uyardı

Oracle Corporation, PeopleSoft yazılımındaki kritik bir güvenlik açığı hakkında müşterilerini uyardı. Bu sistem, büyük şirketler tarafından maaş bordrosu ve insan kaynakları yönetimi için yaygın olarak kullanılmaktadır. Uyarı, bir siber suçlu grubunun kitlesel bir hack kampanyasının parçası olarak bu açıktan yararlandığını duyurmasından bir gün sonra geldi. Bu konuda Techcrunch.com haber veriyor.

ShinyHunters adlı hacker grubu, PeopleSoft sunucularını kullanan 100'den fazla kuruluşa başarılı bir şekilde saldırdığını iddia ediyor. Google'a ait siber güvenlik birimi Mandiant da bu bilgiyi doğruladı. Uzmanlar, Oracle sisteminde yeni tespit edilen hatanın, ShinyHunters grubunun PeopleSoft müşterilerini hedef almak için kullandığı açıkla aynı olduğunu belirtiyor.

Oracle henüz bu açık için resmi bir yama (patch) yayınlamadı. Şirket, güvenlik tavsiyesinde, bu hatanın internet üzerinden herhangi bir kimlik doğrulama veya parola gerektirmeden uzaktan kullanılabileceğine dikkat çekti. Teknoloji devi, müşterilerine sistemi korumak için geçici önlemler almalarını tavsiye ediyor.

Bu kusur, Oracle düzeltmeye fırsat bulamadan hackerlar tarafından keşfedilip kullanıldığı için "sıfırıncı gün" (zero-day) açığı olarak adlandırılıyor. Mandiant verilerine göre, mağdur olan kuruluşların çoğu ABD'de bulunuyor ve bunların üçte ikisi yükseköğretim kurumlarından oluşuyor. Bazı kuruluşlar saldırıyı durdurmayı başarsa da, diğerlerinin verileri çalındı ve hackerların sitesinde yayınlandı.