Сотрудники Nissan получили уведомления об утечке кадровых данных – зарплатные ведомости, банковские реквизиты, номера соцстрахования и налоговые записи по США, Канаде, Мексике и Бразилии. Важно сразу снять громкость: это не компрометация Nissan как таковой, а утечка кадровой выборки через стороннюю HR-платформу Oracle PeopleSoft – и сам Nissan здесь лишь один из примерно сотни пострадавших организаций, развернувших этот продукт. Всех их объединил один оставленный в интернете служебный эндпоинт.
ShinyHunters (Mandiant трекает группу как UNC6240) эксплуатировали CVE-2026-35273 – критический баг в компоненте Environment Management платформы PeopleSoft, дающий удалённое выполнение кода без аутентификации (CVSS 9.8). Точка входа – эндпоинт /PSEMHUB/hub, тот самый Environment Management Hub, через который PeopleSoft централизованно раздаёт обновления своим агентам. Эксплуатация шла с 27 мая – за две недели до того, как Oracle 10 июня выпустила внеплановую advisory, а CISA внесла баг в каталог KEV.
Дальше начинается не эксплойт-магия, а методичная пост-эксплуатация на легитимных инструментах: RMM под маскировкой облачной телеметрии, латеральное перемещение по SSH и упаковка краденого перед выгрузкой на сайт утечек. Восстановим цепочку по шагам.
Эта статья доступна только подписчикам. Оформите подписку, чтобы получить доступ ко всем премиум статьям.
Автор: hacker@shifry.local