Oracle PeopleSoft Sunucularına Yönelik ShinyHunters Saldırıları ve Veri Hırsızlığı

Giriş

Oracle PeopleSoft, kurumsal kaynak planlama (ERP) ve insan kaynakları (HR) sistemlerinde yaygın olarak kullanılan bir yazılım platformudur. Son dönemde, ShinyHunters adlı fidye yazılımı (ransomware) grubu tarafından gerçekleştirilen saldırılar artmıştır. Bu grup, Oracle PeopleSoft sunucularını hedef alarak hassas verileri çalmakta ve ardından fidye taleplerinde bulunmaktadır.

Saldırının Arka Planı ve Etkileri

ShinyHunters Grubu Hakkında

ShinyHunters, 2020 yılında ortaya çıkan ve dünya genelinde birçok kurumu hedef alan bir fidye yazılımı grubudur. Grup, geçmişte Microsoft, Pixlr ve diğer büyük şirketlerden veri çalmakla suçlanmıştır. Oracle PeopleSoft sunucularına yönelik saldırılar, grup için yeni bir hedef olmasına rağmen, hızla yaygınlaşmaktadır.

Oracle PeopleSoft'a Yönelik Saldırının Etkileri

ShinyHunters'ın Oracle PeopleSoft sunucularına yönelik saldırıları sonucunda:

• Veri ihlali: Kurumların müşteri, çalışan ve finansal verileri çalınmaktadır.
• Hizmet kesintisi: Sunucuların saldırıya uğraması nedeniyle iş süreçleri durabilmektedir.
• Yasal ve finansal kayıplar: Veri ihlali sonucunda kurumlar yasal yaptırımlara ve itibar kayıplarına maruz kalabilmektedir.

Uyarı: Oracle PeopleSoft sunucularına yönelik saldırılar, sadece verilerin çalınmasıyla sınırlı kalmamakta, aynı zamanda fidye ödemesi talep edilmektedir. Bu nedenle, saldırıya uğrayan kurumlar hem teknik hem de hukuki destek almalıdır.

Saldırının Teknik Detayları

Saldırı Yöntemi

ShinyHunters, Oracle PeopleSoft sunucularına yönelik saldırılarında aşağıdaki yöntemleri kullanmaktadır:

1. Zafiyet Tespiti: Oracle PeopleSoft sunucularında bulunan güvenlik açıkları (örneğin, CVE-2021-22986 gibi) tespit edilmektedir.
2. Giriş Noktası: Zafiyetler aracılığıyla sunucuya sızılmaktadır. Bu genellikle web uygulaması üzerinden gerçekleşmektedir.
3. Veri Çalınması: Sunucuda bulunan hassas veriler (örneğin, veritabanı dosyaları) çalınmaktadır.
4. Fidye Talebi: Kurumlara fidye ödemesi yapılmaması durumunda verilerin yayınlanacağı tehdidi yapılmaktadır.

Oracle PeopleSoft'ta Yaygın Güvenlik Açıkları

Aşağıda, Oracle PeopleSoft sunucularında bulunan ve ShinyHunters tarafından sıklıkla istismar edilen bazı güvenlik açıkları bulunmaktadır:

• CVE-2021-22986: Oracle PeopleSoft'ta bulunan bir uzaktan kod yürütme (RCE) açığıdır. Bu açık, saldırganların sunucuya tam erişim sağlamasına olanak tanımaktadır.
• CVE-2020-14882: Oracle WebLogic Server'da bulunan bir güvenlik açığıdır. PeopleSoft uygulamalarında da kullanılan bu bileşen, saldırganların sunucuya sızmasına olanak tanımaktadır.
• CVE-2019-2725: Oracle WebLogic Server'da bulunan bir başka güvenlik açığıdır. Bu açık, saldırganların sunucuya erişim sağlamasına olanak tanımaktadır.

Korunma ve Müdahale Adımları

1. Güvenlik Açıklarının Giderilmesi

Oracle PeopleSoft sunucularını korumak için aşağıdaki adımlar izlenmelidir:

1. Güncellemelerin Yapılması: Oracle tarafından yayınlanan güvenlik yamaları (patch) düzenli olarak uygulanmalıdır. Bu yamalar, bilinen güvenlik açıklarını kapatmaktadır.

   # Oracle PeopleSoft için güvenlik yamalarını uygulama
   # 1. Oracle Support Portal'dan ilgili yamaları indirin
   # 2. Yama dosyasını sunucuya yükleyin
   # 3. Yamanın uygulanmasını sağlayın
   # Not: Yama uygulama işlemi, Oracle dokümantasyonuna göre yapılmalıdır.

2. Güvenlik Duvarı (Firewall) Kuralları: Sunuculara yalnızca gerekli portlar üzerinden erişim sağlanmalıdır. Gereksiz portlar kapatılmalıdır.

   # Güvenlik duvarı kurallarını güncelleme (Linux örneği)
   sudo ufw allow from  to any port 80,443
   sudo ufw deny 8080

3. Web Uygulaması Güvenliği: Oracle PeopleSoft web uygulaması için güvenlik duvarı (WAF) kullanılmalıdır. Bu, SQL enjeksiyonu ve XSS gibi saldırılara karşı koruma sağlar.

   # ModSecurity (WAF) kurulumu (Linux örneği)
   sudo apt-get install libapache2-mod-security2
   sudo systemctl restart apache2

2. Erişim Kontrollerinin Güçlendirilmesi

Sunucuya erişim sağlayan kullanıcıların ve rollerin yönetimi aşağıdaki şekilde yapılmalıdır:

1. En Az Ayrıcalık İlkesi: Kullanıcılara yalnızca gerekli olan minimum yetkiler verilmelidir.

   -- Oracle PeopleSoft'ta kullanıcı yetkilerini sınırlama (SQL örneği)
   GRANT SELECT, INSERT ON table_name TO user_name WITH GRANT OPTION;
   REVOKE ALL PRIVILEGES ON table_name FROM user_name;

2. Çok Faktörlü Kimlik Doğrulama (MFA): Sunucuya erişim için MFA kullanılmalıdır. Bu, saldırganların hesapları ele geçirmesini zorlaştırır.

   # Google Authenticator ile MFA yapılandırma (Linux örneği)
   sudo apt-get install libpam-google-authenticator
   sudo google-authenticator

3. IP Kısıtlaması: Sunucuya yalnızca belirli IP adreslerinden erişim sağlanmalıdır.

   # SSH erişimi için IP kısıtlaması (Linux örneği)
   sudo nano /etc/hosts.allow
   sshd: 192.168.1.100 # Yalnızca bu IP'ye izin ver
   sudo nano /etc/hosts.deny
   sshd: ALL # Tüm diğer IP'leri engelle

3. İzleme ve Tespit

Oracle PeopleSoft sunucularında olağandışı aktivitelerin tespit edilmesi için aşağıdaki yöntemler kullanılmalıdır:

1. Günlük (Log) İzleme: Sunucu ve uygulama günlükleri düzenli olarak incelenmelidir. Olağandışı aktiviteler (örneğin, başarısız giriş denemeleri) tespit edilmelidir.

   # Günlük dosyalarını izleme (Linux örneği)
   tail -f /var/log/auth.log
   journalctl -u peoplesoft --no-pager | grep "failed"

2. SIEM Sistemleri: Güvenlik Bilgi ve Olay Yönetimi (SIEM) sistemleri kullanılarak saldırılar tespit edilmelidir. Örnekler arasında Splunk, ELK Stack ve IBM QRadar bulunmaktadır.

   # Splunk'a güvenlik olaylarını gönderme (örnek konfigürasyon)
   # Splunk Forwarder kurulumu ve yapılandırılması gereklidir.

3. IDS/IPS Sistemleri: Saldırı Tespit ve Önleme Sistemleri (IDS/IPS) kullanılarak saldırılar engellenmelidir. Örnekler arasında Snort ve Suricata bulunmaktadır.

   # Snort kurulumu ve yapılandırılması (Linux örneği)
   sudo apt-get install snort
   sudo nano /etc/snort/snort.conf
   # Yapılandırmayı tamamladıktan sonra
   sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0

4. Veri Yedekleme ve Kurtarma Planı

Veri kaybını önlemek için düzenli yedekleme yapılmalıdır. Aşağıdaki adımlar izlenmelidir:

1. Yedekleme Stratejisi: Veriler, hem yerel hem de bulut tabanlı yedekleme sistemlerine yedeklenmelidir. Yedekler, en az haftalık olarak alınmalıdır.

   # Oracle PeopleSoft veritabanı yedekleme (örnek komut)
   # Veritabanı yedekleme için RMAN kullanımı
   rman target / nocatalog
   backup database plus archivelog;

2. Yedeklerin Test Edilmesi: Yedeklerin kurtarma işlemleri düzenli olarak test edilmelidir. Bu, yedeklerin kullanılabilirliğini doğrulamak için önemlidir.

   # Yedekten kurtarma testi (örnek komut)
   # Veritabanı kurtarma işlemi için RMAN kullanımı
   rman target / nocatalog
   restore database;

3. Kurtarma Planı: Olağandışı bir durumda (örneğin, saldırı sonucu veri kaybı) kurtarma planı uygulanmalıdır. Bu plan, iş sürekliliğini sağlamak için kritik öneme sahiptir.

   # Kurtarma planı örneği
   1. Sunucunun ağdan izole edilmesi
   2. Yedekten verilerin kurtarılması
   3. Güvenlik açıklarının giderilmesi
   4. Sistemlerin yeniden başlatılması

Sonuç

ShinyHunters grubunun Oracle PeopleSoft sunucularına yönelik saldırıları, kurumlar için ciddi bir tehdit oluşturmaktadır. Bu saldırılardan korunmak için güvenlik açıklarının giderilmesi, erişim kontrollerinin güçlendirilmesi, izleme sistemlerinin kullanılması ve veri yedekleme stratejilerinin uygulanması gerekmektedir. Oracle tarafından yayınlanan güvenlik yamalarının düzenli olarak uygulanması, saldırıların önlenmesinde kritik bir rol oynamaktadır.

İpucu: Oracle PeopleSoft sunucularını korumak için sadece teknik önlemler yeterli değildir. Kurumlar, çalışanlara yönelik güvenlik farkındalığı eğitimleri düzenlemeli ve siber güvenlik politikalarını sürekli olarak güncellemelidir.