Yazılım & İşletim SistemiOrta

Oracle PeopleSoft Sıfır Gün Açığı (CVE-2026-35273) ve Veri Hırsızlığı Saldırıları: Tehdit Analizi ve Çözüm Adımları

Oracle, PeopleSoft Suite'deki CVE-2026-35273 sıfır gün açığının veri hırsızlığı saldırılarında kullanılmakta olduğunu bildirdi. Kritik güvenlik açığına karşı acil yamalar ve geçici çözümler hakkında detaylı rehber.

B
Bleeping Computer Tutorials
4 görüntülenme
Oracle PeopleSoft Sıfır Gün Açığı (CVE-2026-35273) ve Veri Hırsızlığı Saldırıları: Tehdit Analizi ve Çözüm Adımları

Giriş

Oracle, PeopleSoft Suite uygulamalarında kritik bir sıfır gün açığına (CVE-2026-35273) ilişkin uyarı yayınladı. Bu güvenlik açığı, kimlik doğrulaması gerektirmeden uzaktan kod yürütme (RCE) yeteneği sunarak saldırganların sistemlere erişimini kolaylaştırmaktadır. Saldırganlar, bu açığı ShinyHunter adlı veri hırsızlığı operasyonunda aktif olarak kullanmaktadır. Oracle, müşterileri acil yama uygulamaya ve geçici koruma tedbirleri almaya çağırmaktadır.

Sorun Tanımı

Güvenlik Açığının Teknik Detayları

CVE-2026-35273, PeopleSoft Suite'deki bir girdi doğrulama hatası nedeniyle ortaya çıkmaktadır. Bu hata, saldırganların özel olarak hazırlanmış HTTP istekleri göndererek arbitrary code execution gerçekleştirmesine olanak tanır. Aşağıdaki bileşenler etkilenen versiyonlar arasında yer almaktadır:

  • PeopleSoft Enterprise PeopleTools 8.59 ve öncesi
  • PeopleSoft Financials ve Supply Chain Management 9.2
  • PeopleSoft Human Capital Management 9.2

Saldırı Yöntemi ve Etkileri

ShinyHunter adlı tehdit aktörleri, bu açıktan faydalanarak aşağıdaki saldırı zincirini uygulamaktadır:

  1. Keşif Aşaması: Açığın varlığına dair otomatik tarama araçları kullanılarak hedef sistemler belirlenir.
  2. İstismar Aşaması: Özel hazırlanmış payload'lar içeren HTTP istekleri gönderilerek RCE gerçekleştirilir.
  3. Veri Sızıntısı: Saldırganlar, sistemdeki hassas verileri (müşteri bilgileri, finansal kayıtlar, kişisel veriler) dışarı aktarır.
  4. Yanal Hareket: Erişim elde edilen sistemden diğer ağ bileşenlerine yayılır.

Çözüm ve Koruma Adımları

Adım 1: Acil Yama Uygulama

Oracle, CVE-2026-35273 için kritik seviye yamalarını yayınlamıştır. Aşağıdaki adımları izleyerek yamaları uygulayın:

  1. Yama Kontrolü: 
    # Oracle Patching Tool kullanarak mevcut yamaları kontrol edin
./opatch lsinventory
  2. Yama İndirme: Oracle Support'tan ilgili yamayı indirin (örn: p35273456_122118_Linux-x86-64.zip).
  3. Yama Uygulama: 
    # Yama uygulama (örnek komut - versiyona göre değişebilir)
./opatch apply /path/to/p35273456_122118_Linux-x86-64.zip
  4. Doğrulama: Uygulama sonrası sistemin yeniden başlatılması ve opatch lsinventory komutu ile yamanın başarıyla uygulandığının doğrulanması.

Adım 2: Geçici Koruma Tedbirleri

Yama uygulanana kadar aşağıdaki geçici çözümler uygulanmalıdır:

  1. Güvenlik Duvarı Kuralları: PeopleSoft portlarına (varsayılan: 8000, 8443) erişimi sınırlandırın. 
    # iptables kullanarak erişim kısıtlaması (örnek)
iptables -A INPUT -p tcp --dport 8000 -j DROP
iptables -A INPUT -p tcp --dport 8443 -j DROP
  2. Web Application Firewall (WAF) Kuralları: WAF üzerinde aşağıdaki kuralları ekleyin:
    • Özel karakterlerden oluşan istekleri engelleyin (örn: ' OR 1=1 --).
    • HTTP metodlarını kısıtlayın (sadece GET/POST izin verin).
  3. Sistem Erişim Kısıtlaması: PeopleSoft sunucularına sadece gerekli IP adreslerinden erişime izin verin. 
    # /etc/hosts.allow ve /etc/hosts.deny dosyalarını yapılandırın
# Örnek: Sadece 192.168.1.100 IP'sinden erişime izin ver
sshd: 192.168.1.100 : allow
sshd: ALL : deny

Adım 3: İzleme ve Log Analizi

Aşağıdaki araçlar kullanılarak sistemler sürekli izlenmelidir:

  1. Sistem Logları: PeopleSoft log dosyalarını ($PS_HOME/logs/) düzenli olarak inceleyin. 
    # Log dosyalarını tarama (örnek)
grep -i "error\|exception\|sql error" /path/to/ps_home/logs/*.log
  2. SIEM Entegrasyonu: Splunk, ELK Stack veya IBM QRadar gibi araçlarla logları merkezi olarak izleyin. 
    # Splunk için PeopleSoft logları için özel bir veri kaynağı oluşturun
[peoplesoft_logs]
INDEX = peoplesoft
SOURCE = /var/log/peoplesoft/*.log
  3. Anomalileri Tespit Etme: Aşağıdaki komutlarla olağandışı aktiviteleri izleyin: 
    # Anormal HTTP istekleri (örnek)
awk '$9 == 404 && $1 ~ /(sql|exec)/ {print}' /var/log/apache2/access.log

İpuçları ve Uyarılar

⚠️ Önemli Uyarı: Bu açıktan faydalanan saldırganlar, sistemlerde kalıcı erişim elde edebilir. Yama uygulanana kadar sistemlerinizi izole edilmiş bir ağ segmentine taşıyın ve sadece gerekli personelin erişimine izin verin.

🔍 İpucu: Oracle Support'tan yayınlanan yamaların doğruluğunu kontrol etmek için Oracle Metalink üzerinden yama notlarını inceleyin. Ayrıca, yama uygulama öncesinde sistem yedeği alın.

Sıkça Sorulan Sorular (SSS)

CVE-2026-35273 hangi versiyonları etkilemektedir?

PeopleSoft Enterprise PeopleTools 8.59 ve öncesi, PeopleSoft Financials/SCM 9.2 ve PeopleSoft HCM 9.2 versiyonları bu açıktan etkilenmektedir.

Yama uyguladıktan sonra sistem yeniden başlatılması gerekli midir?

Evet, PeopleSoft yamaları genellikle sistemde değişiklikler yapar. Yama uygulama sonrasında tüm PeopleSoft servislerinin yeniden başlatılması önerilir.

Geçici koruma tedbirleri ne kadar süreyle uygulanmalıdır?

Yama uygulama sürecine bağlı olarak, yamalar yayınlandıktan sonra en geç 72 saat içinde tüm koruma tedbirlerinin kaldırılması gerekmektedir. Süreç gecikirse, ek saldırı riski bulunmaktadır.

İlgili Makaleler