كشفت شركة Mandiant التابعة لجوجل أن مجموعة الابتزاز السيبراني ShinyHunters استغلت ثغرة يوم صفر في نظام Oracle PeopleSoft، تحمل الرمز CVE-2026-35273، لاختراق أنظمة مؤسسية وسرقة بيانات حساسة. الثغرة مصنفة بمعدل خطورة 9.8 من 10، وتسمح بتنفيذ تعليمات برمجية عن بُعد دون الحاجة لتسجيل دخول أو تفاعل من المستخدم، فقط عبر الوصول الشبكي باستخدام بروتوكول HTTP.
النشاط الهجومي تم رصده بين 27 مايو و9 يونيو 2026، فيما لم تصدر أوراكل تحذيرها الرسمي إلا في 10 يونيو، ما جعل الثغرة مكشوفة طوال فترة الهجمات.
طبيعة الهجوم وأدواته
الثغرة تقع في مكون Updates Environment Management المرتبط بـ Environment Management Hub (PSEMHUB)، وتؤثر على إصدارات PeopleTools 8.61 و8.62، مع احتمالية تأثر الإصدارات الأقدم غير المدعومة.
التحقيقات أظهرت أن المهاجمين استخدموا خوادم مكشوفة تعمل ببرمجية Python SimpleHTTP على المنفذ 8888، تضمنت ملفات إعداد، سجلات أوامر، وعملاء إدارة عن بُعد مموهين كبرمجيات من مايكروسوفت أزور. كما استخدموا سكربتات للتنقل الأفقي عبر SSH، مع قائمة أسماء مستخدمين وكلمات مرور ثابتة، وتركوا ملفاً باسم README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT داخل مجلدات PeopleSoft كإشارة للاختراق.
الجامعات في مرمى الهجمات
وفقاً لـ Mandiant، تم إخطار أكثر من 100 مؤسسة تعرضت عناوين IP الخاصة بها للهجوم، وكانت نسبة 68% منها مؤسسات تعليمية، معظمها في الولايات المتحدة. بعض الجامعات تمكنت من صد الهجوم، بينما تعرضت أخرى للاختراق وتسريب بياناتها على موقع ShinyHunters.
من أبرز الضحايا جامعة نوتنغهام التي أكدت الاختراق، حيث أحصى موقع Have I Been Pwned نحو 455 ألف بريد إلكتروني مسرب يشمل بيانات الطلاب الحاليين والخريجين، بما في ذلك الأسماء والعناوين وأرقام الهواتف وأرقام جوازات السفر ومعلومات عن العرق والإعاقات.
إجراءات الحماية والتوصيات
أوصت أوراكل المؤسسات بتعطيل خدمة Environment Management Hub في الأنظمة متعددة الخوادم، أو إزالة تطبيق PSEMHUB بالكامل في الأنظمة أحادية الخادم. وفي حال تعذر ذلك، يجب حجب الوصول الخارجي إلى المسارات الحساسة مثل /PSEMHUB/* و/PSIGW/HttpListeningConnector.
كما حذرت Mandiant من الاعتماد فقط على قواعد فحص WAF، إذ يمكن تجاوزها، مؤكدة أن تقييد هذه النقاط لا يؤثر على جلسات المستخدم الطبيعية.
من العلامات التي يجب مراقبتها للكشف عن الاختراق:
سجلات WebLogic التي تظهر طلبات POST خارجية إلى /PSEMHUB/hub.
ملفات JSP غير متوقعة داخل مجلد PSEMHUB.war.
تغييرات حديثة في ملفات XML ضمن مسار envmetadata.
حركة مرور SMB صادرة على المنفذ 445 من خوادم PeopleSoft إلى وجهات خارجية.a
دلالات استراتيجية
هذا الهجوم يعكس تحولاً في أسلوب ShinyHunters، التي اعتادت سابقاً على استغلال ضعف الضوابط الأمنية في منصات SaaS مثل Salesforce وCanvas عبر التصيّد الصوتي وسرقة الرموز. أما الآن، فهي تستهدف أنظمة ERP المؤسسية عبر ثغرات يوم صفر، ما يمثل تصعيداً خطيراً في مستوى التهديدات الموجهة نحو المؤسسات التعليمية الغنية بالبيانات. ويبقى السؤال مفتوحاً: هل يمثل هذا الهجوم خطوة عابرة أم بداية توجه جديد نحو استغلال أنظمة ERP بشكل منهجي؟
