Grupul de criminali cibernetici ShinyHunters a exploatat o vulnerabilitate critică de tip zero-day în Oracle PeopleSoft pentru a pătrunde în sistemele a peste 100 de organizații — majoritatea universități — între 27 mai și 9 iunie, potrivit echipei de informații despre amenințări Mandiant a Google și mai multor cercetători în securitate.
Vulnerabilitatea și campania de atacuri
Vulnerabilitatea, identificată ca CVE-2026-35273 și cu un scor CVSS de 9,8, este o vulnerabilitate de execuție de cod de la distanță, fără autentificare, în componenta Environment Management Hub din PeopleSoft Enterprise PeopleTools. Aceasta afectează versiunile 8.61 și 8.62, nu necesită autentificare sau interacțiunea utilizatorului și le oferă atacatorilor control total asupra serverului prin acces la rețea via HTTP.
Grupul de Informații despre Amenințări al Google, care urmărește ShinyHunters sub denumirea UNC6240, a anunțat că a notificat peste 100 de organizații din întreaga lume cu privire la o potențială expunere. Șaizeci și opt la sută dintre țintele identificate activau în sectorul învățământului superior, majoritatea având sediul în Statele Unite. Hackerii au revendicat furtul unor date ale studenților, inclusiv adrese de domiciliu, numere de telefon, adrese de email și date de naștere, potrivit TechCrunch, care a raportat că un membru al grupului ShinyHunters a confirmat campania.
Atacul s-a desfășurat în întregime înainte ca Oracle să recunoască problema. Oracle și-a publicat avizul de securitate suplimentar pe 10 iunie, ceea ce înseamnă că fiecare organizație compromisă a fost afectată în absența unui patch disponibil.
Răspunsul federal și măsurile de atenuare
Pe 12 iunie, CISA a adăugat CVE-2026-35273 în catalogul său de Vulnerabilități Exploatate Cunoscute, obligând agențiile federale să remedieze defecțiunea. Orientările Oracle solicită organizațiilor să dezactiveze complet serviciul Environment Management Hub sau să blocheze accesul extern la endpoint-urile /PSEMHUB/* și /PSIGW/HttpListeningConnector la nivelul perimetrului de rețea.
Mandiant a avertizat că bazarea exclusiv pe regulile firewall-ului pentru aplicații web este insuficientă, deoarece aceste controale pot fi ocolite. Organizațiile au fost îndemnate să caute indicatori de compromitere, inclusiv fișiere JSP neașteptate, trafic SMB de ieșire pe portul 445 și fișiere XML modificate recent, care ar putea permite persistența după reporniri.
Context mai larg
Campania PeopleSoft marchează cel de-al doilea atac major al grupului ShinyHunters împotriva sectorului educațional în ultimele săptămâni. Grupul a compromis anterior sistemul de management al învățării Canvas al companiei Instructure în mai, perturbând examenele finale din colegii la nivel național. Firma de securitate Pathlock a observat că atacatorii au lăsat „cărți de vizită” sub forma unor fișiere denumite „README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT” pe serverele compromise și că ShinyHunters continuă să șantajeze instituțiile afectate, amenințând că va publica datele furate.
Surse:
https://thehackernews.com/2026/06/shinyhunters-exploits-oracle-peoplesoft.html
Cybercriminals claim breach of Oracle PeopleSoft servers at 100-plus organizations