Oracle slaat alarm om PeopleSoft-lek

De kwetsbaarheid bevindt zich in Oracle PeopleSoft PeopleTools (versies 8.61 en 8.62), het onderliggende technologische fundament van de PeopleSoft-applicaties. Omdat veel organisaties deze software gebruiken voor bedrijfskritische processen zoals HR, finance en supply chain management, is de potentiële impact op de bedrijfsvoering en databeveiliging groot.

Wat deze specifieke kwetsbaarheid extra gevaarlijk maakt, is de laagdrempeligheid voor misbruik. Aanvallers hoeven geen toegang te hebben tot het interne netwerk of over gebruikersgegevens te beschikken; het lek is op afstand exploiteerbaar zonder authenticatie.

Wanneer een cybercrimineel hier met succes misbruik van maakt, kan dit leiden tot Remote Code Execution (RCE). Dit betekent dat de aanvaller de volledige controle over de getroffen server kan overnemen, malware kan installeren, gegevens kan inzien of manipuleren, en mogelijk verder kan binnendringen in het bedrijfsnetwerk.

De kwetsbaarheid werd ontdekt en gemeld door security-onderzoekers Bobby Gould, Lucas Miller en Minh Giang, verbonden aan het TrendAI Zero Day Initiative en TrendAI Research.

Directe actie vereist

Oracle hanteert een strikt beleid rondom de publicatie van dit soort noodpatches en geeft vanwege veiligheidsoverwegingen geen diepgaande technische details vrij over de exacte werking van het lek. Wel is de boodschap aan systeembeheerders en IT-directeuren glashelser: wacht niet op de reguliere patchronde.

"Wij beschouwen de implementatie van de aanbevolen mitigaties als een risicoreducie-maatregel met een hoge prioriteit en raden ten zeerste aan onmiddellijk actie te ondernemen", schrijft Oracle in de officiële waarschuwing.

Wie loopt risico?

Direct getroffen: Organisaties die draaien op PeopleSoft Enterprise PeopleTools, specifiek de actuele versies 8.61 en 8.62.

Indirect getroffen: Klanten die gebruikmaken van bredere Oracle PeopleSoft Enterprise-applicaties die op deze tools steunen.

Oudere versies: Hoewel Oracle versies buiten de Premier Support of Extended Support niet actief heeft getest, waarschuwt de softwaregigant dat het "zeer waarschijnlijk" is dat ook oudere, niet-ondersteunde versies vatbaar zijn voor deze kwetsbaarheid.

IT-dienstverleners en MSP's

Voor Managed Service Providers (MSP's) en interne IT-teams betekent deze ad-hoc waarschuwing direct werk aan de winkel. Het patchen van enterprise-omgevingen zoals PeopleSoft is vaak complex en vereist zorgvuldige planning om downtime te minimaliseren. Desondanks drukt Oracle klanten op het hart om zo snel mogelijk de documentatie in het Patch Availability Document te raadplegen en de patches toe te passen.

De kwetsbaarheid is beoordeeld op basis van het CVSS 3.1-systeem (Common Vulnerability Scoring System). Hoewel de exacte score per klantomgeving kan variëren afhankelijk van de netwerkarchitectuur, impliceert de kwalificatie "Remote Code Execution zonder authenticatie" dat de risicoscore aan de absolute bovenkant van het spectrum zit. Bovendien waarschuwt Oracle dat als een protocol zoals HTTP in de risicomatrix als kwetsbaar wordt aangemerkt, de beveiligde variant (HTTPS) in de regel eveneens getroffen is.

Klanten wordt geadviseerd om direct in te loggen op het supportportaal van Oracle om de specifieke herstelinstructies en JEP 290-filterinstellingen voor hun specifieke infrastructuur te downloaden.

Commentaar NCC Group

Alex Pembrey, Team Leader, Cyber Threat Intelligence bij NCC Group, het moederbedrijf van Fox-IT, zegt over deze situatie: “Het is op dit moment nog te vroeg om vast te stellen hoeveel Nederlandse organisaties zijn getroffen. In dit soort grootschalige campagnes duurt het vaak enige tijd voordat slachtoffers naar buiten treden of de volledige impact van een incident duidelijk wordt. Wat deze aanval vooral benadrukt, is dat bedrijfsapplicaties zoals ERP- en HR-systemen een aantrekkelijk doelwit blijven voor aanvallers. Deze systemen bevatten vaak grote hoeveelheden gevoelige bedrijfs- en persoonsgegevens en spelen een cruciale rol binnen organisaties. Wanneer kwetsbaarheden in dergelijke omgevingen niet snel worden verholpen, kunnen de gevolgen aanzienlijk zijn.”

“Daarnaast laat deze campagne zien hoe cybercriminelen hun werkwijze blijven professionaliseren. Groepen die voorheen vooral bekend stonden om hun gebruik van relatief eenvoudige initiële toegangstechnieken, zoals vishing, maken steeds vaker gebruik van geavanceerde exploitketens en nieuw ontdekte kwetsbaarheden. Daarbij richten zij zich bewust op sectoren waar de operationele impact van een verstoring groot is, waardoor de druk op slachtoffers toeneemt.”

Alex adviseert organisaties die PeopleSoft gebruiken om zo snel mogelijk de beschikbare beveiligingsupdates te installeren en hun omgevingen te controleren op tekenen van misbruik. Bedrijven kunnen hun servers controleren op de volgende indicatoren:

WebLogic access logs on the server:

External POST requests to /PSEMHUB/hub or /PSIGW/HttpListeningConnector

Unexpected files on the server:

1) .jsp files under the PSEMHUB.war web application directory
2) Odd folders named logs, persistantstorage, or scratchpad under PSEMHUB paths

Recently changed files on the server:

.xml files under the web doc root's envmetadata/data/environment (these can be abused for XMLDecoder persistence that fires on the next server restart)

Network traffic from the server:

Outbound SMB traffic on port 445 from PeopleSoft hosts to external destinations (the exploit chain may use this to capture machine-account NetNTLM hashes)

Ad:

Disable the Environment Management Hub service, remove the PSEMHUB application, or block external access to /PSEMHUB/* and /PSIGW/HttpListeningConnector at the network perimeter.