AIO APEX
Security

ShinyHunters nutzte einen Oracle PeopleSoft Zero-Day wochenlang aus, bevor ein Fix existierte

SecurityWeek
Teilen:
ShinyHunters nutzte einen Oracle PeopleSoft Zero-Day wochenlang aus, bevor ein Fix existierte

Die Google Threat Intelligence Group und Mandiant haben bestätigt, dass ShinyHunters, die prolixe Datenerpressungsgruppe, die intern als UNC6240 verfolgt wird, eine kritische Oracle PeopleSoft-Schwachstelle als Zero-Day fast zwei Wochen lang ausgenutzt hat, bevor Oracle irgendeine Abhilfe veröffentlichte. Die Lücke CVE-2026-35273 hat einen CVSS-Score von 9.8 und ermöglicht nicht authentifizierte Remote-Code-Ausführung über die Environment Management-Komponente von PeopleSoft.

Oracle veröffentlichte am 10. Juni einen außerplanmäßigen Notfall-Advisory, aber bis heute sind keine Patches verfügbar — nur Workarounds. Die Lücke ist bedeutsam, weil die Ausnutzung bereits am 27. Mai begann und den Angreifern fast zwei Wochen ungehinderten Zugriff auf verwundbare Systeme gewährte.

Wer betroffen war

Google benachrichtigte mehr als 100 Organisationen, deren IP-Adressen potenziell exponierten PeopleSoft-Endpunkten entsprachen. Davon sind 68% im Hochschulbereich tätig, und die meisten haben ihren Sitz in den USA. Die Universität Nottingham im Vereinigten Königreich ist das erste öffentlich bestätigte Opfer; die gestohlenen Daten wurden am 9. Juni auf der Leak-Seite von ShinyHunters veröffentlicht.

Wie der Angriff funktionierte

Laut dem Bericht von Mandiant und GTIG richteten die Angreifer Staging-Server ein, die MeshCentral-Agenten als legitime Cloud-Infrastruktur-Endpunkte tarnten, führten administrative Befehlsabfragen aus und setzten ein benutzerdefiniertes Lateral-Movement-Skript ein, um sich in Netzwerken auszubreiten und Daten zu exfiltrieren.

Was Administratoren jetzt tun sollten

PeopleSoft Enterprise PeopleTools Versionen 8.61 und 8.62 sowie PeopleSoft Enterprise Applications sind betroffen. Oracles Advisory enthält Härtungsempfehlungen und netzwerkbasierte Mitigierungen, die sofort angewendet werden sollten. Google hat außerdem Indicators of Compromise aus der ShinyHunters-Kampagne veröffentlicht, die Sicherheitsteams für die Bedrohungssuche nutzen können.

cybersecurityzero-daydata-breachshinyhuntersoraclepeoplesofthigher-education

Originally reported by SecurityWeek. Read the original article for additional details.

View original source
Teilen: