Атака на Oracle PeopleSoft: группировка Bling Libra атакует образовательный сектор через критическую уязвимость

Проблема кроется в уязвимости CVE-2026-35273, затрагивающей компонент PeopleSoft Enterprise PeopleTools. Эта платформа используется для управления обновлениями и конфигурациями продуктов Oracle PeopleSoft. Версии 8.61 и 8.62 оказались подвержены опасному дефекту. Удаленный злоумышленник, не имеющий учетной записи, может получить полный контроль над системой через обычный HTTP-запрос. Критический уровень опасности подтвержден оценкой CVSS 9.8 из 10.

Группировка Bling Libra уже не первый год держит в страхе сектор высшего образования. Ранее ShinyHunters отметилась взломами баз данных университетов, публикацией украденной информации и требованиями выкупа. Теперь злоумышленники переключились на серверы управления персоналом и финансами, которые широко используют вузы. Атаки нацелены на кражу конфиденциальных данных, включая личные карточки студентов и преподавателей, а также финансовые документы.

Предоставленный анализ трафика атак показывает, что злоумышленники сканируют сети образовательных организаций в поисках уязвимых версий PeopleTools. После обнаружения сервера с версиями 8.61 или 8.62 они отправляют специально сформированный HTTP-запрос к компоненту Updates Environment Management. Это позволяет выполнить произвольный код на сервере без аутентификации. Далее злоумышленники закрепляются в системе, устанавливают бэкдоры и получают доступ к базам данных Oracle, содержащим персональные данные.

Уязвимость CVE-2026-35273 была официально опубликована 11 июня 2026 года. Компания Oracle выпустила патч, закрывающий брешь. Однако многие учебные заведения не успели установить обновление. Проблема усугубляется тем, что процесс обновления PeopleTools требует остановки работы системы и предварительного тестирования. В условиях загруженности учебного процесса ИТ-отделы часто откладывают установку критических исправлений.

Bling Libra в своих атаках использует уже известные методы социальной инженерии и фишинга. Однако эксплуатация данной уязвимости не требует никакого взаимодействия с пользователем. Достаточно, чтобы сервер был доступен по сети. Это делает защиту особенно сложной. Эксперты рекомендуют немедленно проверить все серверы PeopleSoft на наличие версий 8.61 и 8.62, а также установить патч от Oracle.

Последствия успешной атаки могут быть катастрофическими для образовательного учреждения. Злоумышленники получают доступ к учетным записям сотрудников, финансовым системам и базам исследовательских данных. В случае утечки персональных данных студентов и преподавателей организации грозят крупные штрафы за нарушение регуляторных требований, таких как GDPR в Европе или ФЗ-152 в России. Кроме того, публикация stolen data на форумах наносит репутационный ущерб.

Группировка ShinyHunters известна своей дерзостью: они не просто крадут данные, но и требуют выкуп за их невозвращение. Атаки на вузы особенно чувствительны, так как учебный процесс не должен прерываться. В случаях, когда серверы PeopleSoft управляют расписанием занятий, зачислением студентов и выплатами зарплат, простой системы может парализовать работу всего учреждения. Поэтому злоумышленники рассчитывают на то, что жертвы скорее заплатят выкуп, чем будут восстанавливать работоспособность систем.

Образовательным организациям следует срочно пересмотреть свою программу управления уязвимостями. Патч для CVE-2026-35273 должен быть установлен в первую очередь, даже если это потребует временной остановки работы серверов. Рекомендуется также ограничить доступ к административным интерфейсам PeopleSoft по сети, используя списки контроля доступа и VPN. В идеале, следует внедрить систему обнаружения вторжений, способную блокировать подозрительные HTTP-запросы к компоненту управления обновлениями.

Текущая кампания Bling Libra показывает, что злоумышленники всё чаще выбирают вертикальные решения вместо массовых атак на пользователей. PeopleSoft - нишевый продукт, но его уязвимость может затронуть сотни университетов по всему миру. Компании-разработчики также должны пересмотреть процессы выпуска патчей: CVE-2026-35273 была найдена задолго до публикации, и злоумышленники могли начать атаки до официального раскрытия. Это еще раз подтверждает, что безопасность критических систем должна быть приоритетом задолго до появления уязвимости.

IPv4

• 108.174.202.99
• 142.11.200.186
• 142.11.200.187
• 142.11.200.188
• 142.11.200.189
• 142.11.200.190
• 176.120.22.24
• 207.89.18.29
• 45.135.232.140
• 91.215.85.101

Domains

• azurenetfiles.net

Onion Domains

• shnyhntww34phqoa6dcgnvps2yu7dlwzmy5lkvejwjdo6z7bmgshzayd.onion

SHA256

• 78166e8cd026f6f7fc612244e587c2565487f2635fc3d704987972ede619aef9
• 9098906159e0e4c845eb918886fadc2723f2a321281b8003e471f09140321f91
• c7e9332731b06644fc73e0046a2a89eaa59b09f54250e9bd622467187351711f
• d65f14e5652a4330354826925dc56937334163656f24dd10f112c15bc7559de1