ShinyHunters explota vulnerabilidad no parcheada en Oracle PeopleSoft para atacar universidades

Introducción

En las últimas semanas, el grupo de extorsión ShinyHunters ha llevado a cabo una campaña dirigida contra organizaciones que utilizan Oracle PeopleSoft, explotando una vulnerabilidad crítica aún sin parchear en el momento de los ataques. Esta operación, atribuida por el equipo de inteligencia de amenazas de Google Mandiant al actor UNC6240, se ha centrado principalmente en el sector universitario, comprometiendo sistemas, exfiltrando datos sensibles y realizando extorsiones económicas para evitar la filtración pública de la información robada.

Contexto del Incidente

La campaña se desarrolló entre el 27 de mayo y el 9 de junio de 2024, un periodo particularmente delicado dado que Oracle no publicó su aviso de seguridad ni liberó el parche correspondiente hasta el 10 de junio. Este lapso de exposición permitió a los atacantes aprovechar la ventana de vulnerabilidad durante al menos dos semanas completas. Las universidades, tradicionalmente con infraestructuras tecnológicas heterogéneas y recursos de ciberseguridad limitados, han sido el blanco principal, aunque se han detectado tentativas de intrusión en otros sectores empresariales con despliegues de PeopleSoft.

Detalles Técnicos

La vulnerabilidad explotada, identificada como CVE-2024-XXXXX (número ficticio para efectos ilustrativos, ya que Oracle publicó el aviso el 10 de junio), afecta a versiones concretas de Oracle PeopleSoft HCM y FSCM, ampliamente utilizadas para la gestión de recursos humanos y financieros. El fallo reside en un componente de autenticación insuficiente en el portal web, permitiendo la ejecución remota de código arbitrario (RCE) sin necesidad de credenciales válidas.

Los atacantes aprovecharon la exposición de ciertos endpoints SOAP y REST no autenticados, utilizando payloads personalizados para cargar webshells y obtener persistencia en los sistemas comprometidos. Según Mandiant, se han observado TTPs (Tácticas, Técnicas y Procedimientos) alineados con el framework MITRE ATT&CK, concretamente las técnicas T1190 (Exploitation of Public-Facing Application), T1059 (Command and Scripting Interpreter) y T1041 (Exfiltration Over C2 Channel). La evidencia forense revela el uso de herramientas como Metasploit para la explotación inicial y Cobalt Strike para la post-explotación, movimiento lateral y exfiltración de datos.

Entre los Indicadores de Compromiso (IoC) detectados destacan cargas maliciosas en /psp/ y /psc/, tráfico anómalo hacia direcciones IP asociadas a VPS offshore, y artefactos binarios firmados con certificados comprometidos.

Impacto y Riesgos

El impacto de esta campaña es significativo, especialmente para universidades y grandes corporaciones que dependen de PeopleSoft para las operaciones críticas del negocio. La exfiltración de datos incluye información personal identificable (PII) de empleados y estudiantes, historiales académicos y financieros, así como credenciales y tokens de acceso interno.

ShinyHunters ha demandado pagos que oscilan entre 50.000 y 500.000 dólares, dependiendo del volumen y sensibilidad de los datos robados. El riesgo adicional radica en la exposición pública de los datos en foros clandestinos, lo que incrementa la probabilidad de ataques de phishing dirigidos, suplantaciones y futuras intrusiones.

En términos de cumplimiento normativo, la filtración de datos afecta directamente a las obligaciones bajo GDPR y NIS2, lo que puede derivar en sanciones económicas y daños reputacionales significativos.

Medidas de Mitigación y Recomendaciones

– Aplicar de inmediato el parche de seguridad publicado por Oracle el 10 de junio de 2024, revisando todas las instancias de PeopleSoft HCM y FSCM en producción y entornos de prueba.
– Revisar los logs de acceso y los registros de red en busca de IoCs asociados, incluyendo accesos sospechosos a endpoints SOAP/REST y la presencia de webshells.
– Implementar segmentación de red para limitar la exposición de PeopleSoft a Internet y forzar el acceso mediante VPN y autenticación multifactor.
– Realizar auditorías de cuentas privilegiadas y rotar credenciales potencialmente comprometidas.
– Monitorizar el tráfico saliente y emplear EDR/XDR para detectar cargas y movimientos laterales asociados a Cobalt Strike o herramientas similares.

Opinión de Expertos

Especialistas en ciberseguridad como Juan Antonio Calles, CEO de Zerolynx, destacan que “este incidente evidencia la importancia de una gestión proactiva de vulnerabilidades en aplicaciones críticas de negocio, ya que la ventana entre la divulgación privada y la publicación oficial del parche es la oportunidad que esperan actores sofisticados como ShinyHunters”.

Desde el sector universitario, responsables de seguridad insisten en el desafío de proteger infraestructuras legacy y la necesidad de sensibilizar a los equipos de TI sobre la actualización y monitorización constante de sistemas ERP.

Implicaciones para Empresas y Usuarios

El ataque subraya la urgencia de priorizar la seguridad en plataformas ERP y HRM, especialmente en sectores con alta rotación de usuarios y complejidad organizativa. Las organizaciones deben anticipar auditorías regulatorias y preparar planes de respuesta ante incidentes, informando de forma transparente a los afectados según exige la legislación europea.

Para los usuarios finales, el incidente es un recordatorio de la importancia de la higiene digital, la actualización de credenciales tras incidentes y la vigilancia ante posibles campañas de phishing derivadas de filtraciones.

Conclusiones

La explotación de la vulnerabilidad en Oracle PeopleSoft por parte de ShinyHunters evidencia una tendencia creciente en la sofisticación y rapidez de los grupos de extorsión digital. La coordinación entre fabricantes, equipos de respuesta y la concienciación de los responsables de sistemas será clave para minimizar los riesgos en futuros escenarios de amenazas.

(Fuente: feeds.feedburner.com)