Grupul de hackeri ShinyHunters a exploatat o vulnerabilitate zero-day critică în Oracle PeopleSoft pentru a compromite peste 100 de organizații între sfârșitul lunii mai și începutul lunii iunie, universitățile fiind cele mai afectate de o campanie care a expus sute de mii de dosare ale studenților, înainte ca Oracle să emită un avertisment de urgență.
Vulnerabilitatea și campania
Oracle a publicat un avertisment de securitate în afara ciclului obișnuit pe 10 iunie pentru CVE-2026-35273, o vulnerabilitate de execuție de cod de la distanță în PeopleSoft Enterprise PeopleTools versiunile 8.61 și 8.62, cu un scor CVSS de 9,8. Vulnerabilitatea, localizată în componenta Updates Environment Management, nu necesită autentificare și nicio interacțiune din partea utilizatorului — ci doar acces în rețea prin HTTP — pentru a prelua controlul complet asupra sistemului.
Mandiant și Grupul de Informații despre Amenințări al Google au confirmat că ShinyHunters, urmărit intern sub denumirea UNC6240, a exploatat vulnerabilitatea în perioada 27 mai – 9 iunie. Google a notificat peste 100 de organizații ale căror sisteme corespundeau unor endpoint-uri vulnerabile, 68% dintre acestea aparținând sectorului învățământului superior, majoritatea din Statele Unite. ShinyHunters susține că a vizat aproximativ 300 de instanțe PeopleSoft din medii cloud și on-premises.
Charles Carmakal, CTO al Mandiant, a confirmat exploatarea activă în medii reale, în timp ce Zero Day Initiative de la Trend Micro — căreia Oracle îi acordă meritul pentru raportarea vulnerabilității — a declarat pentru SecurityWeek că „în prezent se observă o exploatare limitată”, cu o investigație în desfășurare.
Universitatea din Nottingham, printre victime
Universitatea din Nottingham a confirmat că s-a numărat printre instituțiile compromise. „Universitatea din Nottingham a fost victima unui incident cibernetic, iar o cantitate semnificativă de date din sistemul nostru de evidență a studenților a fost accesată de un grup infracțional cibernetic bine cunoscut”, a declarat un purtător de cuvânt pentru The Register.
ShinyHunters a susținut că a furat aproximativ 40 GB de date, inclusiv evidențe de facturare, detalii ale cardurilor de credit și informații privind finanțarea studiilor. Serviciul de notificare a breșelor de securitate Have I Been Pwned a adăugat setul de date scurs în baza sa de date, raportând aproximativ 454.600 de adrese de e-mail unice expuse, alături de nume, adrese, numere de telefon, etnii, dizabilități și numere de pașaport.
Măsuri de atenuare fără un patch complet
Oracle nu a lansat un patch complet. Recomandările sale vizează dezactivarea serviciului Environment Management Hub pe configurațiile cu mai multe servere sau eliminarea aplicației PSEMHUB pe implementările cu un singur server. Organizațiile care nu pot face acest lucru ar trebui să blocheze accesul extern la endpoint-urile /PSEMHUB/* și /PSIGW/HttpListeningConnector la nivelul perimetrului. Mandiant a avertizat că regulile de tip web application firewall sunt insuficiente, deoarece pot fi ocolite.
Cercetătorii în securitate recomandă revizuirea imediată a jurnalelor pentru cereri POST externe către endpoint-urile afectate, fișiere .jsp neașteptate în directoarele aplicațiilor web și trafic SMB de ieșire pe portul 445 de la hosturile PeopleSoft.
Surse:
https://thehackernews.com/2026/06/shinyhunters-exploits-oracle-peoplesoft.html
https://fieldeffect.com/blog/shinyhunters-oracle-peoplesoft-campaign