Universidades e grandes empresas brasileiras podem estar na mira do mesmo ataque
Oracle — A companhia enviou alerta emergencial sobre uma vulnerabilidade CVSS 9.8 no pacote PeopleSoft que já permitiu a invasão de centenas de servidores ao redor do mundo, incluindo instituições de ensino superior e corporações de grande porte.
- Em resumo: falha possibilita roubo de dados sensíveis; correção exige aplicação imediata de patch liberado pela Oracle.
A brecha e o ataque: do código ao vazamento
A falha está no PeopleSoft Enterprise PeopleTools e abre caminho para execução remota de código sem autenticação, segundo documentos internos obtidos pela TechCrunch. O grupo ShinyHunters, já ligado a vazamentos na AT&T e Ticketmaster, é apontado como provável responsável pela exploração em massa.
Mais de 100 organizações tiveram servidores comprometidos em poucos dias de campanha, com foco em bancos de dados acadêmicos e folha de pagamento corporativa.
Impacto para o Brasil e caminho da mitigação
Universidades federais que usam PeopleSoft para gestão de alunos e RH estão entre os alvos potenciais. Para empresas, o risco inclui exposição de folha salarial e informações de clientes. A Oracle liberou atualização cumulativa que corrige a vulnerabilidade e recomenda:
- Aplicar o Critical Patch Update de julho 2024 sem customizações.
- Restringir acesso externo à porta administrativa do PeopleTools.
Como atualizar o PeopleSoft com segurança?
Baixe o CPU no portal Oracle Support, faça backup integral e aplique em ambiente de homologação antes da produção.
O que significa CVSS 9.8?
É pontuação quase máxima na escala de gravidade; indica risco extremo de exploração remota.
O que você acha? Sua empresa já testou a correção ou pretende migrar de plataforma? Para mais detalhes, acesse nossa editoria especializada.
Crédito da imagem: Divulgação / Oracle
