ช่องโหว่ PeopleSoft 0‑day ทำให้ข้อมูลหลายกิกะไบต์ของกว่า …

การแฮก PeopleSoft 0‑day ของกลุ่มแรนซัมแวร์ระดับโลกทำให้ข้อมูลหลายกิกะไบต์ขององค์กรกว่า 100 แห่งถูกขโมยและถูกใช้เป็นเครื่องมือบังคับเรียกค่าไถ่ ตามรายงานของทีมความปลอดภัย Mandiant ของ Google แฮกเกอร์กลุ่ม ShinyHunters ใช้ช่องโหว่ CVE‑2026‑35273 ที่มีคะแนนความรุนแรง 9.8 จาก 10 เพื่อเจาะระบบและส่งคำขอเรียกค่าไถ่ให้กับเหยื่ออย่างน้อยหนึ่งองค์กร

Overview

PeopleSoft เป็นชุดซอฟต์แวร์ด้านทรัพยากรบุคคลและการจัดการองค์กรของ Oracle ที่ได้รับการใช้งานอย่างกว้างขวางในภาครัฐและเอกชน การโจมตีครั้งนี้เป็นการใช้ช่องโหว่ศูนย์วัน (zero‑day) ครั้งแรกที่มีคะแนนความรุนแรงสูงถึง 9.8 ซึ่งทำให้เป็นหนึ่งในช่องโหว่ที่สำคัญที่สุดของปี 2026 ตามการจัดอันดับของผู้เชี่ยวชาญด้านความปลอดภัย

กลุ่ม ShinyHunters ซึ่งเป็นหนึ่งในกลุ่มแรนซัมแวร์ที่มีการทำงานต่อเนื่องและมีความเชี่ยวชาญด้านการสำรวจช่องโหว่ของระบบ ERP ได้ทำการสำรวจช่องโหว่นี้เป็นเวลา > สองสัปดาห์ก่อนที่ Oracle จะทำการแจ้งเตือนอย่างเป็นทางการ การใช้ช่องโหว่ดังกล่าวทำให้แฮกเกอร์สามารถขโมยข้อมูลเป็นกิกะไบต์และใช้ข้อมูลเหล่านั้นเป็นแรงกดดันเพื่อเรียกค่าไถ่จากองค์กรเป้าหมาย

Vulnerability Details

ช่องโหว่ CVE‑2026‑35273 เป็นประเภท **SSRF (Server‑Side Request Forgery) ซึ่งให้ผู้โจมตีส่งคำขอจากเซิร์ฟเวอร์ที่ถูกโจมตีไปยังระบบภายในขององค์กรเป้าหมายได้โดยตรง การทำเช่นนี้ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ควรจะถูกปกป้องโดยไฟร์วอลล์หรือการจำกัดการเข้าถึงเครือข่าย

• **ประเภท: SSRF (remote‑exploitable)
• **คะแนนความรุนแรง: 9.8/10 (CVSS)
• **ผู้พัฒนา: Oracle PeopleSoft
• **ผลกระทบ: การขโมยข้อมูลจำนวนหลายกิกะไบต์และการบังคับเรียกค่าไถ่

การที่ช่องโหว่นี้สามารถถูกใช้จากระยะไกลทำให้แฮกเกอร์ไม่จำเป็นต้องมีการเข้าถึงภายในเครือข่ายขององค์กรล่วงหน้า เพียงแค่ส่งคำขอที่จัดรูปแบบเฉพาะไปยังเซิร์ฟเวอร์ PeopleSoft ที่เปิดเผยต่ออินเทอร์เน็ตก็เพียงพอแล้ว

Attack Campaign

ตามข้อมูลของ Mandiant ทีมวิจัยได้ระบุว่ากลุ่ม ShinyHunters ได้ทำการโจมตีต่อ ประมาณ 100 องค์กร ที่ใช้ PeopleSoft เป็นระบบหลักของการจัดการข้อมูลภายใน การขโมยข้อมูลเกิดขึ้นเป็นระยะเวลาหลายสัปดาห์โดยไม่มีการตรวจจับจากระบบป้องกันทั่วไป

ในขั้นตอนสุดท้ายของแคมเปญ แฮกเกอร์ได้ส่งคำขอเรียกค่าไถ่ไปยังเหยื่ออย่างน้อยหนึ่งองค์กร โดยระบุว่าจะไม่เปิดเผยข้อมูลที่ถูกขโมยหากไม่ได้รับเงินรางวัลตามที่กำหนด การบังคับเรียกค่าไถ่ในรูปแบบนี้สอดคล้องกับแนวทางของกลุ่ม ShinyHunters ที่มักใช้การขโมยข้อมูลเป็น “ข้อมูลลักลอบ” (double extortion) เพื่อเพิ่มแรงกดดันต่อเหยื่อ

Oracle’s Response

Oracle ได้ออกคำแนะนำชั่วคราว (stopgap mitigation) เพื่อบรรเทาความเสี่ยงจากช่องโหว่ SSRF นี้ โดยแนะนำให้ผู้ดูแลระบบทำการปิดการเข้าถึงบาง API และตรวจสอบการตั้งค่าการตรวจสอบต้นทางของคำขอ อย่างไรก็ตาม บริษัทยังไม่ได้ปล่อยแพตช์ที่แก้ไขปัญหาอย่างเต็มรูปแบบในขณะนี้

การที่ Oracle ยังไม่มีแพตช์เต็มรูปแบบทำให้หลายองค์กรต้องพึ่งพามาตรการชั่วคราวและการตรวจสอบบันทึกการเข้าใช้งานอย่างเข้มงวด การตอบสนองช้าเช่นนี้เป็นปัจจัยหนึ่งที่ทำให้แฮกเกอร์สามารถดำเนินการขโมยข้อมูลได้ต่อเนื่องเป็นเวลานาน

Impact and Analysis

การโจมตีครั้งนี้ส่งผลกระทบต่อองค์กรหลายภาคส่วน ทั้งภาครัฐและเอกชน เนื่องจาก PeopleSoft ถูกนำมาใช้เป็นระบบฐานข้อมูลสำคัญ การสูญเสียข้อมูลเป็นกิกะไบต์อาจทำให้เกิดความเสี่ยงต่อการรั่วไหลของข้อมูลส่วนบุคคลของพนักงานและลูกค้า รวมถึงข้อมูลทางการเงินและการดำเนินงาน

จากมุมมองของนักวิเคราะห์ความปลอดภัย ช่องโหว่ SSRF แบบ remote‑exploitable ยังคงเป็นหนึ่งในความเสี่ยงที่มองข้ามบ่อย เนื่องจากหลายองค์กรมุ่งเน้นการป้องกันการโจมตีจากภายนอกโดยตรง แต่ไม่ได้เตรียมการตรวจสอบการสื่อสารภายในเซิร์ฟเวอร์ การใช้ PeopleSoft ที่เปิดเผยต่ออินเทอร์เน็ตโดยไม่มีการตั้งค่าป้องกันที่เหมาะสมทำให้แฮกเกอร์สามารถทำการโจมตีได้ง่ายขึ้น

การบังคับเรียกค่าไถ่โดยใช้ข้อมูลที่ถูกขโมยเป็นเครื่องมือเพิ่มแรงกดดัน (double extortion) แสดงให้เห็นว่ากลุ่มแรนซัมแวร์กำลังพัฒนาเทคนิคใหม่เพื่อเพิ่มอัตราการสำเร็จของการเรียกค่าไถ่ ซึ่งอาจทำให้บริษัทต่าง ๆ ต้องพิจารณานโยบายการจัดการเหตุการณ์รั่วไหลข้อมูลอย่างละเอียดและมีการเตรียมพร้อมรับมืออย่างต่อเนื่อง

Summary

PeopleSoft 0‑day CVE‑2026‑35273 ที่มีคะแนนความรุนแรง 9.8 ถูกกลุ่ม ShinyHunters ใช้โจมตีประมาณ 100 องค์กร ทำให้ข้อมูลหลายกิกะไบต์ถูกขโมยและมีการบังคับเรียกค่าไถ่ตามที่ทีม Mandiant รายงาน Oracle ยังอยู่ในขั้นตอนการออกมาตรการชั่วคราวและยังไม่มีแพตช์เต็มรูปแบบ ส่งผลให้ผู้ดูแลระบบต้องเร่งตรวจสอบและเสริมความปลอดภัยของระบบ ERP อย่างเร่งด่วน.