PeopleSoft sıfır gün açığı yüzlerce kurumdan gigabaytlarca veri sızdırıyor

Oracle'ın PeopleSoft ERP platformunda keşfedilen bir sıfır gün açığı, yüzlerce kurumdan gigabaytlarca veri sızdıran aktif bir saldırı kampanyasına dönüştü. Ars Technica'nın aktardığı vaka, kurumsal yazılım güvenliğindeki tedarik zinciri risklerinin somut bir örneği.

PeopleSoft, küresel olarak büyük şirketler, devlet daireleri, üniversiteler ve sağlık kuruluşları tarafından kullanılan eski ama yaygın bir ERP (kurumsal kaynak planlama) platformu. İnsan kaynakları, mali işler, satın alma ve öğrenci kayıt gibi pek çok fonksiyon, PeopleSoft modülleri üzerinde çalışıyor. Oracle, 2005'te şirketi satın aldı ama "sürdürülen destek" modeliyle çalışan birçok kurulum bulunuyor.

Açığın teknik kategorisi henüz tam olarak açıklanmadı; Ars Technica'nın notuna göre saldırı, kimliği doğrulanmamış (unauthenticated) bir uzaktan kod yürütme veya benzer ciddi bir kategori. Kurumlar, açığın tetiklenmesinin ardından sistemlerinde olağan dışı çıkış trafiği görmeden bile büyük veri sızdırmalarına maruz kalmış.

Sızan verilerin profili kritik. ERP platformları, çalışan kimlik bilgileri (TC kimlik, sosyal güvenlik numarası, banka hesap numarası), maaş ve performans değerlendirmeleri, satıcı ve tedarikçi sözleşmeleri, hasta veya öğrenci kayıt verisi gibi son derece duyarlı kategoriler içeriyor. Bu kategoriler, hem bireysel kimlik hırsızlığı hem kurumsal espionage için yüksek değerli.

Saldırının atfedilmesi henüz yapılmadı ama Ars Technica'nın aktardığı kaynaklara göre saldırgan grup organize ve teknik olarak ileri düzey. Hedeflenen sektörler arasında ABD eyalet üniversiteleri, federal devlet daireleri, sağlık sistemleri ve büyük kurumsal müşteriler bulunuyor.

Kurumlar için acil müdahale parametreleri var. Oracle, açığa yönelik düzeltme (patch) yayımladı; sistem yöneticileri için ilk adım hızlı uygulama. İkinci adım, IOC (indicator of compromise) belirteçlerine göre log analizi: Olağan dışı sorgular, beklenmeyen tablo ekleme, anormal veri ihracı (export) işlemleri kontrol edilmeli. Üçüncü adım, etkilenmiş kullanıcı veya satıcı verisinin değerlendirilmesi.

Düzenleyici tarafta da yansımalar var. ABD'de SEC'in 2023'te yürürlüğe giren siber güvenlik açıklama kuralı, halka açık şirketleri "materyal" siber olayları 4 iş günü içinde açıklamaya zorluyor. AB'de GDPR ve NIS2 direktifleri benzer ihbar yükümlülükleri öngörüyor. Türkiye'de KVKK ve BTK siber olay bildirim kuralları, ihlal sonrası 72 saat içinde KVKK'ya bildirim gerektiriyor.

Olay, ERP güvenliği konusundaki yıllar boyu süregelen bir konuyu da öne çıkarıyor: legacy kurumsal yazılımların güvenlik testlerinin yetersizliği. Modern uygulamalarda "shift-left security" prensibi yaygın ama 1990'larda tasarlanmış PeopleSoft gibi mimariler, bu modern test rejimine geç entegre oluyor. ENISA'nın 2024 raporu, AB içinde kullanılan eski ERP sistemlerinin güvenlik açığı yoğunluğunun, modern bulut-yerel ERP'lere göre belirgin biçimde yüksek olduğunu belirtiyor.

İş etkisi tarafı: gigabayt seviyesinde veri sızıntısı, GDPR para cezalarında çok yüksek tutarlara karşılık geliyor. Avrupa'da büyük veri ihlali olayları 2024'te ortalama 4.5 milyon euro civarında ceza ile sonuçlandı. ABD'de class-action davalar, sızdırılan veri kategorisi başına önemli yükümlülükler doğuruyor.

Türkiye için bağlam: Sağlık Bakanlığı'nın MEDULA sistemine yönelik 2024 fidye yazılımı denemesi, kurumsal hassas yazılım altyapılarının ulusal düzeyde de hedef olduğunu gösterdi. Büyük üniversitelerimiz ve kamu kurumlarımız da PeopleSoft veya türev ERP kurulumları kullanıyor; Oracle güncellemesinin hızlı uygulanması kritik. USOM tarafından bu tip açıkların kurumsal IT'e duyurulması rutin ama uygulama farkı önemli.

Kısa vadeli ipucu: PeopleSoft kullanan herhangi bir kurum, Oracle'ın acil güvenlik uyarısı listesini takip etmeli ve patch uygulamasını ertelememeli. Ars Technica'nın haberi, ERP güvenliği denetiminin temel bir kurumsal IT görevi olduğunu hatırlatıyor. Bu yazı bir güvenlik denetimi veya yatırım tavsiyesi değildir.