Vulnerabilità PeopleSoft: ShinyHunters ruba dati
Una vulnerabilità con un punteggio di gravità di 9.8 su 10 ha permesso al gruppo di ransomware ShinyHunters di colpire circa 100 clienti della suite software PeopleSoft di Oracle, causando l’esfiltrazione di gigabyte di informazioni sensibili. Secondo quanto emerso dalle recenti indagini di sicurezza, l’exploit è rimasto attivo per oltre due settimane prima che Oracle riuscisse a identificare la falla, rendendo l’attacco particolarmente efficace nel periodo di latenza tra la scoperta e la segnalazione.
L’incidente, che si colloca tra gli eventi di cybersecurity più critici dell’anno 2026, ha coinvolto direttamente diverse organizzazioni che sono state oggetto di tentativi di estorsione. In almeno un caso documentato, gli attaccanti hanno richiesto un pagamento in cambio della mancata pubblicazione dei dati sottratti. La gravità dell’evento risiede nella capacità degli aggressori di sfruttare una falla strutturale per penetrare in sistemi che dovrebbero essere protetti da standard di sicurezza elevati.
La dinamica dell’attacco: il ruolo dell’SSRF
L’analisi tecnica ha evidenziato come la vulnerabilità sia riconducibile a una falla di tipo SSRF (Server-Side Request Forgery). Questo tipo di vulnerabilità permette a un utente malintenzionato di indurre il server a effettuare richieste HTTP verso destinazioni non previste, spesso raggiungendo risorse interne che non dovrebbero essere accessibili dall’esterno. In questo contesto, il server People的人 di Oracle è stato utilizzato come ponte per scansionare e interagire con l’infrastruttura interna delle aziende colpite.
Il team di ricerca ha confermato che la natura stessa dell’attacco permette di bypassare i perimetri di sicurezza tradizionali. Una volta che il server è stato compromesso tramite la vulnerabilità SSRF, i criminali informatici hanno potuto muoversi lateralmente all’interno delle reti aziendali, identificando database e altri asset critici. La capacità di manipolare le richieste lato server trasforma un’applicazione legittima in uno strumento di scouting per l’esfiltrazione di dati sensibili.
Stato della difesa e misure di mitigazione
Al momento, la situazione richiede un intervento immediato da parte degli amministratori di sistema. Oracle ha lavorato per fornire indicazioni su come limitare l’esposizione, ma la natura della vulnerabilità richiede una revisione profonda delle configurazioni di rete. Al fine di mitigare il rischio, è fondamentale monitorare attentamente il traffico in uscita dal server verso indirizzi interni non autorizzati e implementare filtri rigorosi sulle richieste che il server può generare.
Le organizzazioni che utilizzano PeopleSoft devono verificare la conformità delle proprie policy di sicurezza e assicurarsi che i controlli sui parametri di input siano estremamente restrittivi. Nonostante la disponibilità di patch e configurazioni di sicurezza, l’efficacia della difesa dipende dalla velocità con cui le aziende riescono a implementare le correzioni suggerite dai fornitori. Per ulteriori approfondimenti tecnici e aggiornamenti sulle vulnerabilità, è possibile consultare i comunicati ufficiali di Oracle e gli avvisi di sicurezza internazionali.
In attesa di una risoluzione definitiva che possa eliminare alla radice la vulnerabilità SSRF, la raccomandazione per i responsabili della sicurezza informatica è quella di aumentare i livelli di logging e di monitoraggio sui flussi di dati che transitano attraverso i server applicativi, per identificare tempestivamente eventuali pattern di esfiltrazione anomali.
Fonte: Ars Technica
