AIO APEX
Security

ShinyHunters nutzte CVE-2026-35273 zwei Wochen lang aus, bevor Oracle einen Patch veröffentlichte – über 100 Organisationen kompromittiert

The Hacker News
Teilen:
ShinyHunters nutzte CVE-2026-35273 zwei Wochen lang aus, bevor Oracle einen Patch veröffentlichte – über 100 Organisationen kompromittiert

Zwei Wochen, kein Patch, 100+ Opfer: Oracle PeopleSoft Zero-Day wurde ShinyHunters' bislang verheerendste Kampagne

Vom 27. Mai bis zum 9. Juni 2026 bewegte sich die ShinyHunters-Gruppe – von Googles Mandiant-Team als UNC6240 geführt – still und leise durch PeopleSoft-Installationen an Universitäten und Hochschulen in den USA und darüber hinaus. Oracle veröffentlichte kein außerplanmäßiges Advisory zur zugrundeliegenden Schwachstelle, CVE-2026-35273, bis zum 10. Juni. Jeder Einbruch in diesem Zeitraum ereignete sich gegen einen Zero-Day ohne verfügbaren Fix.

Die Schwachstelle hat einen CVSS-Score von 9,8 von 10. Es handelt sich um eine unauthentifizierte Server-Side Request Forgery (SSRF)-Lücke in Oracle PeopleSoft Enterprise PeopleTools der Versionen 8.61 und 8.62; Forscher gehen davon aus, dass ältere, nicht mehr unterstützte Versionen gleichermaßen betroffen sind. Zum Auslösen sind keinerlei Zugangsdaten erforderlich – ein Angreifer mit nichts weiter als Netzwerkzugang über HTTP kann die betroffenen Endpunkte erreichen und sich in Richtung Remote Code Execution vorarbeiten.

Was ausgenutzt wurde und wie

Die anfällige Komponente ist PeopleSofts Environment Management Hub, bekannt als PSEMHUB. Zwei spezifische Endpunkte wurden ins Visier genommen: /PSEMHUB/hub und /PSIGW/HttpListeningConnector. Da diese Schnittstellen aus administrativen Gründen mitunter direkt aus dem Internet erreichbar sind, konnte ShinyHunters sie im großen Stil sondieren und kompromittieren – ganz ohne vorherigen Zugang zu den Opfernetzwerken.

Nach dem Eindringen sicherte die Gruppe ihre Persistenz über einen Command-and-Control-Server unter azurenetfiles.net – einer Domain, die darauf ausgelegt ist, in der legitimen Azure NetApp Files-Infrastruktur unterzugehen. Die laterale Bewegung wurde durch opferspezifische Shell-Skripte nach dem Benennungsschema [victim]_fanout.sh automatisiert. Kompromittierte PeopleSoft-Verzeichnisse erhielten eine Visitenkarte: eine Klartextdatei namens README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT.

Mandiant hat festgestellt, dass dieser Angriff eine taktische Weiterentwicklung für ShinyHunters darstellt. Die Gruppe hat ihren Ruf durch Vishing-Kampagnen und OAuth-Token-Diebstahl aufgebaut – Methoden, die auf die Manipulation von Menschen setzen. Eine ungepatchte serverseitige Schwachstelle in weit verbreiteter On-Premises-ERP-Software zu einer Waffe zu machen, ist eine andere Kategorie von Fähigkeit, und sie hat entsprechend größere Ergebnisse geliefert.

Ausmaß und bestätigte Schäden

Als Oracles Advisory veröffentlicht wurde, waren bereits mehr als 100 Organisationen auf über 300 PeopleSoft-Instanzen kompromittiert worden. Die sektorale Aufschlüsselung ist auffällig: 68 Prozent der Opfer stammen aus dem Hochschulbereich, überwiegend US-amerikanische Colleges und Universitäten. PeopleSoft ist nach wie vor tief in universitären HR-, Studierenden- und Finanzsystemen verwurzelt – eine Kombination, die diese Einrichtungen sowohl zu besonders begehrten Zielen als auch zu Opfern mit besonders schwerwiegenden Folgen machte.

Die University of Nottingham bestätigte einen Einbruch. Have I Been Pwned verzeichnete 455.000 eindeutige E-Mail-Adressen aus den geleakten Daten; die Datensätze umfassen Namen, Postanschriften, Telefonnummern, Passnummern, ethnische Zugehörigkeit und Informationen zu Behinderungen. Die Sensibilität dieses Datensatzes – der unter DSGVO und vergleichbare Gesetze fallende Kategorien umfasst – bedeutet, dass betroffene Personen auf Jahre hinaus einem erhöhten Risiko von Identitätsbetrug und gezieltem Phishing ausgesetzt sind.

ShinyHunters hat öffentlich erklärt, dass die Kontaktaufnahme mit den Opfern erst beginnt. Weitere Organisationen sollten damit rechnen, namentlich genannt zu werden, während die Gruppe ihre Erpressungspipeline abarbeitet.

CISA hat CVE-2026-35273 am 12. Juni in seinen Known Exploited Vulnerabilities (KEV)-Katalog aufgenommen – zwei Tage nach Oracles Advisory. Bundesbehörden unter CISAs Direktive sind verpflichtet, die Behebung in einem beschleunigten Zeitrahmen durchzuführen; der KEV-Eintrag dient jedoch auch als formales Signal an den gesamten Sektor, dass eine aktive Ausnutzung bestätigt ist.

Was Verteidiger jetzt tun müssen

Oracle hat einen Patch veröffentlicht. Dieser ist sofort einzuspielen. Für Organisationen, die derzeit keinen Patch einspielen können, stehen zwei vorläufige Maßnahmen zur Verfügung:

  • Den PSEMHUB-Dienst vollständig deaktivieren, sofern er betrieblich nicht erforderlich ist. Damit wird die Angriffsfläche an ihrer Wurzel beseitigt.
  • Externen Zugriff am Netzwerkperimeter sperren auf die Pfade /PSEMHUB/* und /PSIGW/HttpListeningConnector. Diese Endpunkte dürfen unter keinen Umständen ins öffentliche Internet geroutet werden.

Mandiant hat ausdrücklich gewarnt, dass WAF-Body-Inspection-Regeln allein nicht ausreichen, um die Ausnutzung dieser Schwachstelle zu blockieren. Organisationen, die Web Application Firewalls als primäre Schutzmaßnahme einsetzen und die oben genannten Schritte noch nicht unternommen haben, sollten sich als ungeschützt betrachten, bis sie dies getan haben.

Über das Einspielen von Patches und Zugriffskontrollen hinaus sollten Verteidiger ihre Umgebungen aktiv nach den bekannten Indicators of Compromise (IOC) durchsuchen:

  • Ausgehende Verbindungen oder DNS-Abfragen zu azurenetfiles.net
  • Shell-Skripte auf PeopleSoft-Hosts, die dem Benennungsschema [victim]_fanout.sh entsprechen
  • Vorhandensein von README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT in einem PeopleSoft-Verzeichnis
  • Ungewöhnliche HTTP-Anfragen an die PSEMHUB- oder PSIGW-Endpunkte in Web- und Applikationsserver-Logs

Da das Ausnutzungsfenster am 27. Mai geöffnet wurde, sollte jede Organisation, die in diesem Zeitraum eine internetfähige PeopleSoft-Instanz der Versionen 8.61 oder 8.62 betrieben hat, eine vollständige Incident-Response-Überprüfung durchführen – unabhängig davon, ob Indikatoren beobachtet wurden. Das Fehlen einer README-Datei ist keine Bestätigung einer sauberen Umgebung – es bedeutet lediglich, dass ShinyHunters möglicherweise noch nicht zur Erpressungsphase vorgedrungen ist.

Die Kombination aus nahezu perfektem CVSS-Score, fehlendem Authentifizierungserfordernis und einem zweiwöchigen Vorsprung gegenüber Verteidigern macht CVE-2026-35273 zu einer der folgenreichsten Unternehmensschwachstellen des Jahres 2026. Das Fenster für präventive Maßnahmen ist geschlossen. Das Fenster für Eindämmung und Reaktion steht jetzt offen.

zero-daydata-breachshinyhuntersoraclepeoplesoftcve-2026-35273

Originally reported by The Hacker News. Read the original article for additional details.

View original source
Teilen: