Ένα νέο, τεράστιας κλίμακας χτύπημα που αναδεικνύει την ευπάθεια των εκπαιδευτικών (και όχι μόνο) ιδρυμάτων, έφερε στο φως η Ομοσπονδιακή Υπηρεσία Κυβερνοασφάλειας των ΗΠΑ (CISA) και η ομάδα απειλών Mandiant της Google.
Η περιβόητη ομάδα κυβερνοεγκλήματος ShinyHunters (γνωστή στη Mandiant ως UNC6240) εκμεταλλεύτηκε μια κρίσιμη zero-day ευπάθεια στο δημοφιλές εταιρικό λογισμικό Oracle PeopleSoft, καταφέρνοντας να παραβιάσει περισσότερους από 100 οργανισμούς παγκοσμίως μεταξύ 27 Μαΐου και 9 Ιουνίου. Το 68% των στόχων αφορούσε ιδρύματα τριτοβάθμιας εκπαίδευσης, με τη συντριπτική πλειονότητα αυτών να εδρεύει στις ΗΠΑ.
Η ευπάθεια 9.8 και η «σιωπηλή» εισβολή
Το κενό ασφαλείας (καταχωρημένο ως CVE-2026-35273 με την εξαιρετικά υψηλή βαθμολογία CVSS 9.8) επιτρέπει την πλήρη απομακρυσμένη εκτέλεση κώδικα στο Environment Management Hub του PeopleSoft. Το πιο ανησυχητικό είναι ότι η επίθεση δεν απαιτεί σύνδεση (login) ή αλληλεπίδραση από τον χρήστη: δίνει στους χάκερ πλήρη έλεγχο του διακομιστή μέσω απλής δικτυακής πρόσβασης.
Το PeopleSoft χρησιμοποιείται ευρέως για τη διαχείριση μισθοδοσίας, HR και διοικητικών λειτουργιών. Σύμφωνα με δηλώσεις μέλους των ShinyHunters στο TechCrunch, η ομάδα κατάφερε να κλέψει τεράστιο όγκο δεδομένων, όπως στοιχεία φοιτητών, οικονομικές ενισχύσεις, διευθύνσεις, τηλέφωνα και ιατρικά δεδομένα.
Το θράσος της ομάδας ήταν τέτοιο, που προσπάθησαν —ανεπιτυχώς— να παραβιάσουν ακόμη και έναν διακομιστή PeopleSoft του FBI, προκειμένου να αναρτήσουν μήνυμα που να αρνείται την εμπλοκή τους σε πρόσφατες φάρσες (swatting).
Το πρόβλημα γιγαντώθηκε επειδή η εκστρατεία εκτυλίχθηκε εξ ολοκλήρου πριν η Oracle αντιληφθεί την ευπάθεια, γεγονός που σημαίνει ότι όλοι οι οργανισμοί δέχθηκαν επίθεση χωρίς να έχουν στη διάθεσή τους κάποιο patch.
Η CISA έθεσε την ευπάθεια στη λίστα των άμεσα εκμεταλλεύσιμων κενών (Known Exploited Vulnerabilities), υποχρεώνοντας σε άμεσα μέτρα, ενώ η Mandiant προειδοποίησε ότι τα απλά Web Application Firewalls (WAF) δεν επαρκούν για την αποτροπή των επιθέσεων.
Μπαράζ αποκαλύψεων στην κυβερνοασφάλεια
Η επίθεση στο PeopleSoft είναι μόνο η κορυφή του παγόβουνου σε μια εβδομάδα γεμάτη σοκαριστικές αποκαλύψεις για την ασφάλεια των συστημάτων:
Κινεζική κατασκοπεία 10 ετών στο Linux
Η εταιρεία Sygnia αποκάλυψε την “Επιχείρηση Highland”, κατά την οποία μια ομάδα κυβερνοκατασκοπείας με την ονομασία Velvet Ant —συνδεόμενη με την Κίνα— βρισκόταν ανενόχλητη στο πιο ευαίσθητο δίκτυο ενός οργανισμού για σχεδόν μια δεκαετία. Οι χάκερ κατάφεραν να κρυφτούν επαναγράφοντας τον κώδικα του ίδιου του λογισμικού που διαχειρίζεται τις συνδέσεις των χρηστών στο Linux, με τα πρώτα ίχνη τους να χρονολογούνται πίσω στο 2016.
Δημόσιο exploit για το VS Code της Microsoft
Σε μια σπάνια κίνηση «αντιποίνων», ο ερευνητής ασφαλείας Ammar Askar δημοσίευσε ένα λειτουργικό zero-day exploit για το Visual Studio Code. Η ευπάθεια επιτρέπει την κλοπή του GitHub OAuth token με ένα μόνο κλικ. Ο Askar προχώρησε σε άμεση δημοσιοποίηση του κώδικα (χωρίς να περιμένει patch), κατηγορώντας το Κέντρο Ανταπόκρισης Ασφαλείας της Microsoft ότι σε προηγούμενη αναφορά του είχε διορθώσει το πρόβλημα «αθόρυβα», χωρίς να τον αναγνωρίσει ή να δώσει τα σχετικά εύσημα (bounty).
Κρίσιμο κενό 8.6 στη Cisco
Η Cisco αναγκάστηκε να εκδώσει έκτακτη προειδοποίηση για την ευπάθεια CVE-2026-20230 στο Unified Communications Manager, καθώς κυκλοφόρησε ήδη δημόσια κώδικας εκμετάλλευσής της (Proof-of-Concept). Το σφάλμα, τύπου SSRF (Server-Side Request Forgery), επιτρέπει σε μη εξουσιοδοτημένους εισβολείς να εγγράψουν αρχεία στο λειτουργικό σύστημα, με σοβαρό κίνδυνο να αποκτήσουν πλήρη δικαιώματα (root access).
Επίθεση «Miasma» στα πακέτα Red Hat
Η αλυσίδα εφοδιασμού (supply chain) δέχθηκε άλλο ένα χτύπημα, όταν ανακαλύφθηκε ότι περισσότερα από 30 επίσημα πακέτα npm της Red Hat Cloud Services παραβιάστηκαν. Οι επιτιθέμενοι ενσωμάτωσαν κακόβουλο λογισμικό που έκλεβε διαπιστευτήρια (credentials) απευθείας από τα μηχανήματα των προγραμματιστών και τα περιβάλλοντα συνεχούς ενσωμάτωσης (CI/CD).
