Nissan Americas xác nhận đã xảy ra một vụ rò rỉ dữ liệu ảnh hưởng đến nhân viên hiện tại và cựu nhân viên tại bốn quốc gia. Sự cố này xuất phát từ việc các đối tượng đe dọa khai thác một lỗ hổng zero-day nghiêm trọng trong phần mềm Oracle PeopleSoft.
Chi tiết Lỗ hổng Oracle PeopleSoft
Cuộc tấn công liên quan đến CVE-2026-35273, một lỗ hổng Server-Side Request Forgery (SSRF) lên Remote Code Execution (RCE) không yêu cầu xác thực. Lỗ hổng này có mức độ nghiêm trọng CVSS 9.8 và tồn tại trong thành phần Updates Environment Management (PSEMHUB) của Oracle PeopleTools phiên bản 8.61 và 8.62.
Các đặc điểm của lỗ hổng
- Không yêu cầu xác thực.
- Không cần tương tác người dùng.
- Có thể khai thác qua kết nối HTTP thông thường.
Điều này có nghĩa là bất kỳ kẻ tấn công nào có khả năng kết nối mạng đến một phiên bản bị ảnh hưởng đều có thể thực hiện thực thi mã từ xa hoàn toàn. Oracle đã phát hành bản vá khẩn cấp ngoài kế hoạch vào ngày 10 tháng 6 năm 2026. Hai ngày sau, lỗ hổng này được thêm vào danh mục Các lỗ hổng đã biết bị khai thác (KEV) của CISA.
Phân tích cuộc tấn công và nhóm đứng sau
Mandiant và Google Threat Intelligence Group (GTIG) quy kết chiến dịch này cho UNC6240, một tập thể tội phạm mạng với động cơ tài chính, còn được biết đến với tên gọi ShinyHunters hoặc Bling Libra. Việc khai thác đã được ghi nhận từ ngày 27 tháng 5 năm 2026, sớm hơn hơn hai tuần so với thông báo của Oracle. Nhóm này đã xâm nhập hơn 300 phiên bản PeopleSoft thuộc hơn 100 tổ chức trên toàn cầu bằng các tập lệnh tấn công tự động.
Ảnh hưởng đến Nissan Americas
Theo các thông báo vi phạm dữ liệu nộp cho Văn phòng Tổng chưởng lý California, Nissan Americas xác nhận đã trở thành mục tiêu cụ thể trong chiến dịch tấn công rộng lớn hơn. Khoảng thời gian xảy ra vụ tấn công kéo dài từ ngày 27 tháng 5 đến ngày 9 tháng 6 năm 2026. Vụ việc có khả năng đã làm lộ thông tin nhạy cảm của nhân viên, bao gồm:
- Tên
- Địa chỉ
- Số An sinh xã hội (SSN)
- Thông tin tài khoản ngân hàng
- Thông tin về lương và phúc lợi
Sự cố được cho là ảnh hưởng đến nhân viên hiện tại và cựu nhân viên Nissan tại Hoa Kỳ, Canada, Mexico và Brazil. Nissan đã kích hoạt các quy trình ứng phó sự cố ngay lập tức, bao gồm việc thuê chuyên gia an ninh mạng bên ngoài và hợp tác với cơ quan thực thi pháp luật.
Biện pháp ứng phó và giảm thiểu
Để hạn chế thiệt hại, Nissan đã giới hạn quyền truy cập hệ thống lương, bao gồm xem phiếu lương và thay đổi thông tin chuyển khoản trực tiếp, chỉ cho phép thực hiện trên máy tính mạng công ty hoặc kết nối VPN an toàn. Các lớp xác thực danh tính bổ sung đã được triển khai trước khi xử lý các yêu cầu lương. Nissan cũng đang sắp xếp các dịch vụ giám sát tín dụng và web tối miễn phí cho những cá nhân bị ảnh hưởng tại những nơi có sẵn.
Chi tiết kỹ thuật về khai thác và hoạt động sau xâm nhập
Phân tích của Mandiant cho thấy ShinyHunters đã triển khai các tác nhân quản lý từ xa MeshCentral trên các máy chủ bị xâm nhập. Các tác nhân này được ngụy trang dưới dạng các dịch vụ Microsoft Azure hợp pháp (ví dụ: meshagent64-azure-ops.exe). Giao tiếp điều khiển và chỉ huy (C2) được định tuyến đến wss://azurenetfiles[.]net:443/agent.ashx.
Hoạt động sau xâm nhập bao gồm việc thu thập thông tin cấu hình PeopleSoft nội bộ, thực thi các tập lệnh di chuyển ngang và trích xuất dữ liệu bằng cách sử dụng thuật toán nén zstd. Các máy chủ bị xâm nhập được đánh dấu bằng một tệp ghi chú đòi tiền chuộc có tên README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT.
Khuyến nghị cho các tổ chức
Các tổ chức đang chạy PeopleTools 8.61 hoặc 8.62 cần coi việc cập nhật bản vá là một ưu tiên khẩn cấp. Ngoài việc vá lỗi, Rapid7 và Mandiant đưa ra các khuyến nghị sau:
- Áp dụng các bản vá bảo mật ngay lập tức.
- Giám sát chặt chẽ các phiên bản PeopleSoft để phát hiện hoạt động bất thường.
- Thực hiện kiểm tra toàn diện hệ thống để xác định và loại bỏ mọi dấu vết của sự xâm nhập.
- Cân nhắc việc xem xét lại các biện pháp kiểm soát truy cập và xác thực.
Đây là lỗ hổng zero-day nghiêm trọng thứ hai trong hệ thống Oracle ERP có điểm CVSS 9.8 bị khai thác trong vòng chưa đầy tám tháng, theo sau việc lạm dụng CVE-2025-61882 trong Oracle E-Business Suite của Cl0p bắt đầu từ tháng 8 năm 2025. Xu hướng này cho thấy các nền tảng ERP đang trở thành mục tiêu chính của các hoạt động tống tiền có tổ chức.
Để tăng cường khả năng phát hiện và điều tra mối đe dọa, việc tích hợp các giải pháp như ANY.RUN vào quy trình hoạt động của Trung tâm Điều hành An ninh (SOC) có thể giúp đẩy nhanh quá trình ứng phó.
Tham khảo chi tiết lỗ hổng và các báo cáo liên quan tại NVD NIST.
