오라클, 해커들이 100개 이상의 조직에 침입하기 위해 악용한 심각한 취약점에 대해 PeopleSoft에 경고

오라클은 최근 기업 고객에게 급여 및 인사 관리에 사용되는 회사의 PeopleSoft 소프트웨어에 심각한 보안 취약점이 있음을 알리는 보안 경고를 발표했습니다. ShinyHunters라는 사이버 범죄 그룹은 이 취약점을 이용하여 대규모 해킹 작전을 시작하고 해당 소프트웨어를 사용하는 100개 이상의 조직을 침입한다고 주장했습니다. 이번 경고는 ShinyHunters가 PeopleSoft 서버를 운영하는 100개 이상의 조직 시스템을 침해했다고 주장한 지 하루 만인 목요일 현지 시간에 발표되었습니다.

Google 계열 사이버 보안 회사 Mandiant는 블로그 게시물을 통해 ShinyHunters가 악용하고 있는 취약점이 Oracle이 공개한 새로운 결함과 동일한 문제이며, 대상이 Oracle의 PeopleSoft 고객 그룹에 집중되어 있음을 확인했습니다. 현재 오라클은 픽스 패치를 발표하지는 않았지만 보안 권고를 통해 해당 취약점이 인터넷을 통해 원격으로 악용될 수 있으며 인증이나 비밀번호 없이도 공격이 시작될 수 있다고 경고했으며 여전히 영향을 받는 PeopleSoft 시스템을 사용하는 고객은 공식 완화 조치에 따라 즉시 구성하여 공격을 받을 위험을 줄일 것을 촉구했습니다.

ShinyHunters 회원들은 이 그룹이 패치가 적용되지 않은 PeopleSoft 서버를 공격하여 여러 조직의 시스템을 침입했다고 말했습니다. Oracle이 패치를 출시하기 전에는 취약점이 일반적인 "제로데이" 취약점이었습니다. 즉, 취약점이 발견되어 악용되었을 때 소프트웨어 제조업체는 수정 사항을 개발할 시간이 없었습니다. Mandiant는 전 세계 100개 이상의 조직에 시스템의 잠재적인 위험에 대해 경고하기 위해 통지문을 보냈으며, 이들 중 대부분은 미국에 위치하고 있으며 대학 및 고등 교육 기관이 약 3분의 2를 차지한다고 말했습니다. 이는 기존 샤이니헌터스가 공개한 공격 대상 구성과 기본적으로 일치한다.

Mandiant는 일부 조직이 공격 중에 해커 활동을 성공적으로 차단하거나 적시에 취약점 복구를 완료했지만 실제로는 다른 조직이 손상되어 민감한 데이터가 도난당하고 ShinyHunters가 운영하는 데이터 유출 웹사이트에 게시되었다는 점을 권고에서 지적했습니다. 오라클은 아직까지 이러한 대규모 침입에 대응하지 않았습니다.

ShinyHunters 회원들은 해커들이 학교 시스템에서 학생 이름, 집 주소, 전화번호, 이메일 주소, 생년월일, 성별, 민족, 등록 상태, 평균 평점(GPA), 전공 및 학생 ID 번호를 포함하여 "수십만 개의 학생 기록"을 훔쳤다는 사실을 보여주는 피해 대학에 보냈다고 주장하는 알림 메시지를 언론에 보여주었습니다. 공격 범위가 확대됨에 따라 PeopleSoft와 그 고객은 동일한 유형의 취약한 소프트웨어를 대상으로 ShinyHunters가 수행한 일련의 침입의 최신 피해자가 되었습니다.

지난 1년 동안 ShinyHunters는 공격에 동일한 소프트웨어 플랫폼을 사용하는 기업과 기관을 반복적으로 표적으로 삼았습니다. 이 갱단은 이전에 Salesforce와 Gainsight는 물론 교육 기술 대기업 Instructure가 제공하는 소프트웨어 서비스를 사용하여 많은 회사에 대한 침입을 수행했습니다. 특정 유형의 소프트웨어에 악용 가능한 취약점이 있음이 확인되면 해당 소프트웨어를 사용하는 다수의 조직을 스캔하고 침입하여 기업 또는 고객 데이터를 훔친 다음 데이터를 공개하겠다고 위협하고 피해자에게 몸값을 요구하는 데 중점을 둡니다.

올해 초 Instructure는 두 번의 침입 이후 해커와 합의에 도달하고 돈을 지불했다고 공개적으로 인정했습니다. 관련 공격에서 ShinyHunters는 여러 학교의 로그인 페이지를 변조하고 공격 결과를 표시하는 데 사용한 Instructure가 소유한 Canvas 캠퍼스 정보 포털을 악의적으로 "훼손"했습니다. 현재 피플소프트의 취약점이 대규모로 노출되고 악용되면서 보안 전문가들은 이 시스템에 의존하여 핵심 업무를 처리하는 기업과 대학이 적시에 공식적인 완화 조치를 취하지 않고 가능한 한 빨리 패치를 배포하지 않으면 다음 차례의 데이터 유출 및 랜섬웨어 공격의 피해자가 될 가능성이 매우 높다고 경고합니다.