DarijaAI
securityنُشر فـ 18 juin 20264 دقائق قراءة

ثغرة حرجة فـ Oracle PeopleSoft: ShinyHunters كتسرق بيانات الشركات

مجموعة إجرامية كتستعمل ثغرة zero-day باش تدخل لأنظمة الشركات. أكثر من 300 مؤسسة متضررة، خاصة فالجامعات.

ثغرة حرجة فـ Oracle PeopleSoft: ShinyHunters كتسرق بيانات الشركات

كاين واحد الثغرة حرجة بزاف فـ Oracle PeopleSoft — البرنامج اللي كتستعمله الشركات الكبرى لإدارة الموارد البشرية والرواتب. مجموعة إجرامية سميتها ShinyHunters (Mandiant كتسميها UNC6240) كتستعمل هاد الثغرة باش تدخل لأنظمة الشركات وتسرق البيانات الحساسة.

الخبر الخطير: هاد الثغرة ماكانش معروفة قبل ما تستعملها المجموعة الإجرامية. يعني الشركات ما كانت عندها وقت باش تحمي نفسها.

شنو بالضبط الثغرة ديالة؟

الثغرة (CVE-2026-35273) موجودة فجزء ديال البرنامج سميتو Environment Management Hub (PSEMHUB). الخطورة ديالها: أي شخص خارج الشركة يقدر يدخل ويشتغل كود مباشرة بدون ما يدخل اسم مستخدم ولا كلمة سر.

هاد النوع ديال الثغرات سميتو RCE (Execution Remote Code — تنفيذ كود عن بعد). الخطر: الهاكر كيقدر يدير أي حاجة يبغيها فالنظام.

الثغرة كتصيب نسختين ديال البرنامج: 8.61 و 8.62. إيلا كنتي مسؤول نظام وشركتك كتستعمل هاد النسختين، هاد الخبر مهم ليك بزاف.

الهجوم الفعلي: كيفاش دخلو الهاكرز؟

ShinyHunters قالات بلي سرقات بيانات من أكثر من 300 نسخة ديال البرنامج، اللي تخدم حوالي 100 شركة ومؤسسة. الأهداف الأساسية كانت الجامعات والمؤسسات التعليمية (68% ديال الضحايا).

الشي المثير: الهاكرز قالو بلي الهدف الأول كان أكثر جرأة — بغاو يدخلو لنظام تابع للـ FBI باش يطلعو بيان عام. ولكن الخطة تبدلات وبدأو يسرقو بيانات من أي شركة يقدرو يدخلوها.

المراحل ديال الهجوم

Google Threat Intelligence (فريق أمان جوجل) حللات الهجوم وقالو إنه كاين 4 مراحل:

1. الدخول الأول

الهاكرز استعملو الثغرة CVE-2026-35273 باش يدخلو للنظام بدون تحقق.

2. إخفاء المسارات

بعد الدخول، الهاكرز نصبو برنامج سميتو MeshCentral (أداة تحكم عن بعد) ولكن بشكل ماكر: قالو للنظام إنهم خدمات Microsoft Azure (خدمة سحابية معروفة). هاد الحيلة كتخليهم يتحركو بحرية ماتشوفهم أنظمة الأمان.

3. الحركة الجانبية (Lateral movement)

الهاكرز عندهم script (برنامج صغير) سميتو fanout.sh كتدير المهام التالية:

  • تفتيش ملف النظام /<bdi>etc</bdi>/<bdi>hosts</bdi> باش تلقا أجهزة PeopleSoft الأخرى فالشركة
  • محاولة الدخول عبر SSH (بروتوكول دخول بعيد) باستعمال أسماء مستخدمين شهيرة وضعيفة مثل <bdi>psoft</bdi> أو <bdi>oracle</bdi> أو <bdi>linuxadm</bdi>
  • ترك ملف تهديد سميتو <bdi>README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT</bdi> ("اقرا هاد إيلا شفتي هاد الملف، كنتي مخترق")

4. السرقة والضغط

الهاكرز كيضغطو البيانات المسروقة باستعمال أداة سميتها zstd (تقنية ضغط قوية) قبل ما يرسلوها لخادم ديالهم. بعدها كيهددو الشركات: "إيلا ما دفعتوش فلوس، غادي نطلع البيانات ديالكم عام".

كيفاش اتكتشفات الهجمات؟

الهاكرز عملو غلطة كبيرة: خادمهم الإعدادي (staging server) بقا معروض للعموم. يعني أي شخص كان يقدر يشوف فيه. هاد الغلطة سمحات لفريق Google Threat Intelligence بتحليل الهجوم كاملا.

شنو خاص تدير إيلا كنتي مسؤول نظام؟

الوقت مهم بزاف. إيلا شركتك كتستعمل Oracle PeopleSoft، خاصك تدير حاجات دابا:

الحل الأول: تحديث البرنامج (الأولوية)

Oracle طلقات تحديث (patch) يسد الثغرة. هاد التحديث خاص يتنصب فأسرع وقت ممكن.

إيلا ما قدرتش تحدث دابا؟

فيه إجراءات طوارئ:

1. إيقاف الخدمة الخطيرة

طفي خدمة Environment Management Hub (EMHub) مؤقتا، أو على الأقل منع الدخول الخارجي لـ /<bdi>PSEMHUB</bdi>/* و /<bdi>PSIGW</bdi>/<bdi>HttpListeningConnector</bdi> من الإنترنت (استعمل الـ firewall).

2. تفتيش السجلات

ادخل لسجلات WebLogic (الخادم الأساسي) وشوف إيلا كاين طلبات HTTP POST غريبة موجهة للـ Hub. هاد الطلبات كتكون إشارة على هجوم.

3. البحث عن ملفات مريبة

فتش نظام الملفات وشوف إيلا كاين ملفات .<bdi>jsp</bdi> (نوع ملفات كود) غير معروفة، أو مجلدات جديدة بحال <bdi>scratchpad</bdi> أو <bdi>persistantstorage</bdi>. هاد الملفات كتكون أدوات الهاكرز.

4. مراقبة الحركة الخارجة

راقب البيانات اللي كتخرج من خادم PeopleSoft على البورت 445 (SMB — بروتوكول مشاركة الملفات). إيلا كاين حركة غريبة، يعني الهاكرز مازال يسرقو.

شنو كيعني هاد الشي ليك؟

هاد الهجمات كتبان إن الشركات الكبرى، حتى اللي عندها أنظمة أمان قوية، ما زال عندها ثغرات. البنوك والشركات الكبرى فالمغرب اللي كتستعمل Oracle PeopleSoft خاصها تتحرك دابا — تحديث البرنامج أو على الأقل إيقاف الخدمات الخطيرة. حتى المتخصصين فالأمان السيبراني (Cybersecurity) فالمغرب كيشوفو فيها فرصة: الشركات كتدور على خبراء باش يفتشو الأنظمة ديالهم ويتأكدو من ما كاينش هاكرز بداخل. الدرس الأساسي: ما تستنا للبيانات تتسرق قبل ما تتحرك — الوقت هو الفرق بين ضرر صغير وكارثة.

مقالات ذات صلة

<bdi>Claude Mythos</bdi> ديال <bdi>Anthropic</bdi>: حماية البنية التحتية الحساسة فـ 15 دولةllm

Claude Mythos ديال Anthropic: حماية البنية التحتية الحساسة فـ 15 دولة

Anthropic بدلات Claude Mythos لـ 150 منظمة جديدة فقطاعات حساسة: الكهرباء، الماء، الصحة. الهدف: لقاح الثغرات الأمنية قبل ما يستعملوها الهاكرز.

3 دقائق قراءةاقرا المزيد
<bdi>Dumpsec</bdi>: كيفاش تقدر عصابة بدون مهارات هاكينج تحطم شركات كبرى؟ethics

Dumpsec: كيفاش تقدر عصابة بدون مهارات هاكينج تحطم شركات كبرى؟

عصابة من الشباب بدون خبرة حقيقية فالهاكينج طاحت 35 شركة كبرى بفرنسا. السر: استعملو أدوات AI والخدمات الإجرامية. الآن اعتقلو 7 مشتبهين.

3 دقائق قراءةاقرا المزيد
<bdi>DSI</bdi>، <bdi>RSSI</bdi>، و <bdi>DPO</bdi>: التحالف الجديد ضد مخاطر الذكاء الاصطناعيenterprise

DSI، RSSI، و DPO: التحالف الجديد ضد مخاطر الذكاء الاصطناعي

مؤتمر Ready For IT كشف عن تقارب جديد بين المسؤولين التقنيين والأمنيين. الذكاء الاصطناعي فرض عليهم تعاون أقوى باش يأمنو التطبيق بدون مخاطر.

4 دقائق قراءةاقرا المزيد
<bdi>Microsoft</bdi> طلقات <bdi>MDASH</bdi>: 100 وكيل ذكي باش يلقاو الثغرات الخطيرةagents

Microsoft طلقات MDASH: 100 وكيل ذكي باش يلقاو الثغرات الخطيرة

Microsoft بدلات الأمان السيبراني من شي معقد لـ AI triage ذكي. 100 وكيل ذكي كيقلصو الضجة ويركزو على التهديدات الحقيقية فقط.

3 دقائق قراءةاقرا المزيد
→ كل المقالات