Oracle PeopleSoft: як вразливість стала ключем до даних університетів

У період з 27 травня по 9 червня цього року відбулася масштабна атака, що вкотре продемонструвала вразливість освітніх установ. Угруповання ShinyHunters, також відоме як UNC6240, успішно експлуатувало критичну вразливість нульового дня CVE-2026-35273 у програмному забезпеченні Oracle PeopleSoft. Це сталося ще до того, як Oracle опублікувала офіційне попередження 10 червня 2026 року (Mandiant, 2026).

Цей інцидент — приклад того, як кіберзлочинці використовують проміжок часу між виявленням вразливості та випуском патчу, ставлячи під загрозу конфіденційні дані та операційну стійкість організацій, зокрема в освітньому секторі.

Загрози для освітніх установ: атака ShinyHunters

Кібератаки на освітні установи не є новим явищем, але їхня інтенсивність зростає. Університети та наукові інститути володіють великими обсягами цінних даних: персональні дані студентів та викладачів, фінансові записи, результати досліджень, інтелектуальна власність. Ця інформація є привабливою мішенню для кіберзлочинців.

Угруповання ShinyHunters заявило про компрометацію понад 100 організацій, використовуючи близько 300 інстансів PeopleSoft. Приблизно дві третини (68%) постраждалих є університетами та коледжами, переважно у США (Mandiant, 2026). Ця статистика підкреслює, що освітній сектор став пріоритетною ціллю для зловмисників.

CVE-2026-35273: технічний аналіз вразливості

Вразливість CVE-2026-35273 є критичною помилкою віддаленого виконання коду (RCE) у компоненті Environment Management PeopleSoft Enterprise PeopleTools (версії 8.61 та 8.62). Її оцінка за шкалою CVSS становить 9.8, що свідчить про високий рівень небезпеки. За даними Oracle (2026), головна загроза полягає в тому, що для її експлуатації не потрібна ані автентифікація, ані взаємодія з користувачем. Це означає, що зловмисник може отримати повний контроль над уразливою системою, просто надіславши спеціально сформований запит.

Така вразливість нульового дня дозволяє зловмисникам діяти непомітно, поки розробник не випустить патч, а організації не встигнуть його встановити. У випадку з PeopleSoft, це дало ShinyHunters значний проміжок часу для проведення атак до публічного розкриття інформації.

Чому університети є вразливою ціллю

Окрім цінності даних, є кілька структурних причин, чому університети часто стають жертвами кібератак:

• Складність інфраструктури: Освітні установи часто мають розгалужену та децентралізовану ІТ-інфраструктуру з великою кількістю застарілих систем, що працюють паралельно з сучасними рішеннями. Це створює численні вектори атак.
• Обмежені ресурси: Бюджети на кібербезпеку в освітньому секторі часто поступаються бюджетам комерційних організацій, що призводить до нестачі кваліфікованих фахівців та сучасних інструментів захисту.
• Відкритість мереж: Університетські мережі традиційно є більш відкритими для досліджень та співпраці, що ускладнює впровадження жорстких політик безпеки.
• Людський фактор: Велика кількість користувачів (студенти, викладачі, адміністративний персонал) з різним рівнем обізнаності в питаннях кібербезпеки створює умови для фішингу та соціальної інженерії.

Типова помилка: застарілі ERP як вузьке місце безпеки

Багато університетів покладаються на монолітні системи планування ресурсів підприємства (ERP), такі як Oracle PeopleSoft, які були розгорнуті десятиліття тому. Хоча ці системи виконують критичні функції (управління студентами, фінансами, кадрами), вони часто стають вузьким місцем з погляду безпеки та гнучкості. Застарілі архітектури та складність оновлення роблять їх ідеальними мішенями для атак.

Несвоєчасне оновлення, відсутність належного моніторингу та застарілі практики управління доступом перетворюють такі системи на серйозний ризик. Коли виявляється вразливість нульового дня, як CVE-2026-35273, наслідки можуть бути суттєвими.

Архітектурний підхід: декомпозиція ERP для підвищення стійкості

Для підвищення стійкості до подібних атак освітнім установам варто розглянути стратегію декомпозиції монолітних ERP-систем. Це не означає повну відмову від наявних інвестицій, а радше поетапну модернізацію та винесення функцій у мікросервісну архітектуру або спеціалізовані рішення.

Наприклад, замість того, щоб тримати весь функціонал в одному моноліті PeopleSoft, можна виділити окремі модулі як незалежні сервіси. Це дозволяє:

• Ізолювати ризики: Компрометація одного сервісу не обов’язково призведе до компрометації всієї системи.
• Прискорити оновлення: Патчі та оновлення можуть застосовуватися до окремих сервісів швидше, ніж до всього моноліту.
• Підвищити гнучкість: Нові функції та технології можуть інтегруватися легше, не зачіпаючи стабільність основної системи.
• Посилити безпеку: До кожного сервісу можна застосувати індивідуальні політики безпеки та моніторингу.

Такий підхід може включати використання API Gateway для управління доступом до внутрішніх сервісів, впровадження централізованого управління ідентифікацією та доступом (IAM) та інтеграцію з SIEM-системами для моніторингу аномалій. Подібну архітектурну гнучкість забезпечують low-code платформи, наприклад UnityBase (open-source low-code платформа, розроблена InBase), що дозволяє створювати та інтегрувати незалежні сервіси з існуючими ERP.

Рекомендації CISA для критичної інфраструктури

Агентство з кібербезпеки та безпеки інфраструктури США (CISA) розробило Cross-Sector Cybersecurity Performance Goals (CPG) — базові практики кібербезпеки для критичної інфраструктури. Згідно з CISA (2026), ці цілі є еталоном для операторів критичної інфраструктури для оцінки та підвищення своєї кіберзрілості. Для освітніх установ, як частини такої інфраструктури, ці рекомендації є особливо актуальними.

Ключові аспекти CPG, важливі для університетів:

• Управління вразливостями: Регулярне сканування, оцінка та усунення вразливостей, особливо в критичних системах.
• Управління ідентифікацією та доступом (IAM): Впровадження багатофакторної автентифікації (MFA), принцип найменших привілеїв та сегментація доступу.
• Захист даних: Шифрування чутливих даних, резервне копіювання та плани відновлення після інцидентів.
• Моніторинг та виявлення: Впровадження SIEM для централізованого збору та аналізу журналів подій.
• Планування реагування на інциденти: Розробка та регулярне тестування планів реагування на кіберінциденти.

Інцидент з ShinyHunters та Oracle PeopleSoft є черговим нагадуванням, що кібербезпека — це безперервний процес, що вимагає постійної уваги та адаптації. Для університетів це означає не лише реагування на поточні вразливості, але й стратегічне переосмислення архітектури своїх ІТ-систем та впровадження проактивних заходів захисту.

Чекліст готовності до загроз для ERP-систем

• Чи проведено аудит версій Oracle PeopleSoft та інших критичних ERP на наявність відомих вразливостей?
• Чи існує задокументований план реагування на вразливості нульового дня (Zero-Day)?
• Чи розглядається стратегія поетапної декомпозиції монолітної ERP для підвищення стійкості?
• Чи впроваджено моніторинг аномальних запитів до ERP-систем (наприклад, через SIEM/UEBA)?
• Чи відповідають поточні практики управління доступом рекомендаціям CISA CPG (MFA, принцип найменших привілеїв)?
• Чи проводиться регулярне навчання персоналу з розпізнавання фішингових атак, спрямованих на отримання доступу до ERP?