AIO APEX
Security

ShinyHunters Explotó CVE-2026-35273 Durante Dos Semanas Antes de que Oracle Publicara un Parche, Comprometiendo Más de 100 Organizaciones

The Hacker News
Compartir:
ShinyHunters Explotó CVE-2026-35273 Durante Dos Semanas Antes de que Oracle Publicara un Parche, Comprometiendo Más de 100 Organizaciones

Dos Semanas, Sin Parche, Más de 100 Víctimas: El Zero-Day de Oracle PeopleSoft Se Convirtió en la Campaña Más Destructiva de ShinyHunters Hasta la Fecha

Del 27 de mayo al 9 de junio de 2026, el grupo ShinyHunters — rastreado por el equipo Mandiant de Google como UNC6240 — se movió silenciosamente a través de implementaciones de PeopleSoft en universidades y colegios de Estados Unidos y otros países. Oracle no publicó un aviso fuera de banda para la vulnerabilidad subyacente, CVE-2026-35273, hasta el 10 de junio. Cada brecha ocurrida en ese período se produjo contra un zero-day sin ninguna corrección disponible.

La vulnerabilidad tiene una puntuación CVSS de 9,8 sobre 10. Se trata de un fallo de Server-Side Request Forgery (SSRF) no autenticado en Oracle PeopleSoft Enterprise PeopleTools versiones 8.61 y 8.62, y los investigadores creen que versiones anteriores sin soporte están igualmente expuestas. No se requieren credenciales para activarla — un atacante con nada más que acceso de red a través de HTTP puede alcanzar los endpoints afectados y escalar hacia la ejecución de Remote Code Execution.

Qué Se Explotó y Cómo

El componente vulnerable es el Environment Management Hub de PeopleSoft, conocido como PSEMHUB. Se atacaron dos endpoints específicos: /PSEMHUB/hub y /PSIGW/HttpListeningConnector. Dado que estas interfaces a veces se dejan expuestas a internet por comodidad administrativa, ShinyHunters pudo sondearlas y comprometerlas a gran escala sin necesidad de ningún punto de apoyo previo dentro de las redes de las víctimas.

Una vez dentro, el grupo estableció persistencia a través de un servidor de command-and-control en azurenetfiles.net — un dominio diseñado para confundirse con la infraestructura legítima de Azure NetApp Files. El movimiento lateral fue automatizado mediante scripts de shell específicos para cada víctima con el patrón de nomenclatura [victim]_fanout.sh. Los directorios de PeopleSoft comprometidos recibieron una tarjeta de presentación: un archivo de texto plano llamado README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT.

Mandiant ha señalado que este ataque marca una evolución táctica para ShinyHunters. El grupo construyó su reputación en campañas de vishing y robo de tokens OAuth — métodos que dependen de manipular a personas. Convertir en arma una vulnerabilidad no parcheada del lado del servidor en software ERP on-premises ampliamente desplegado es una categoría diferente de capacidad, y produjo resultados correspondientemente mayores.

Escala y Daños Confirmados

Para cuando el aviso de Oracle fue publicado, más de 100 organizaciones habían sido comprometidas en más de 300 instancias de PeopleSoft. El desglose sectorial es llamativo: el 68 por ciento de las víctimas pertenecen a la educación superior, principalmente colegios y universidades de Estados Unidos. PeopleSoft sigue profundamente integrado en los sistemas de recursos humanos, registros de estudiantes y finanzas de las universidades — una combinación que convirtió a estas instituciones tanto en objetivos de alto valor como en víctimas de alto impacto.

La Universidad de Nottingham confirmó una brecha. Have I Been Pwned registró 455.000 direcciones de correo electrónico únicas procedentes de los datos filtrados, con registros que incluyen nombres, direcciones postales, números de teléfono, números de pasaporte, etnia e información sobre discapacidad. La sensibilidad de ese conjunto de datos — que abarca categorías protegidas bajo el GDPR y estatutos equivalentes — significa que las personas afectadas enfrentan un riesgo elevado de fraude de identidad y phishing dirigido durante años.

ShinyHunters ha declarado públicamente que el contacto con las víctimas apenas está comenzando. Las organizaciones adicionales deben esperar ser nombradas a medida que el grupo avanza en su cadena de extorsión.

CISA añadió CVE-2026-35273 a su catálogo Known Exploited Vulnerabilities (KEV) el 12 de junio, dos días después del aviso de Oracle. Las agencias federales bajo la directiva de CISA están obligadas a remediar en un plazo acelerado, pero el listado en el KEV también sirve como señal formal para el sector en general de que la explotación está confirmada y activa.

Qué Deben Hacer los Defensores Ahora

Oracle ha publicado un parche. Aplíquelo de inmediato. Para las organizaciones que no pueden parchear ahora mismo, hay dos mitigaciones provisionales disponibles:

  • Deshabilitar el servicio PSEMHUB por completo si no es operativamente necesario. Esto elimina la superficie de ataque de raíz.
  • Bloquear el acceso externo en el perímetro de red a las rutas /PSEMHUB/* y /PSIGW/HttpListeningConnector. No enrutar estos endpoints a la internet pública bajo ninguna circunstancia.

Mandiant ha advertido explícitamente que las reglas de inspección de cuerpo de WAF por sí solas no son suficientes para bloquear la explotación de esta vulnerabilidad. Las organizaciones que han desplegado firewalls de aplicaciones web como su control principal y no han tomado las medidas anteriores deben considerarse desprotegidas hasta que lo hagan.

Más allá del parcheo y los controles de acceso, los defensores deben buscar los IOC conocidos en sus entornos:

  • Conexiones salientes o consultas DNS a azurenetfiles.net
  • Scripts de shell en hosts de PeopleSoft que coincidan con el patrón de nomenclatura [victim]_fanout.sh
  • Presencia de README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT en cualquier directorio de PeopleSoft
  • Solicitudes HTTP inusuales a los endpoints de PSEMHUB o PSIGW en los registros de servidores web y de aplicaciones

Dado que la ventana de explotación se abrió el 27 de mayo, cualquier organización que ejecutara una instancia de PeopleSoft accesible desde internet en las versiones 8.61 o 8.62 durante ese período debe realizar una revisión completa de respuesta a incidentes independientemente de si ha observado indicadores. La ausencia de un archivo README no es confirmación de un entorno limpio — significa que ShinyHunters puede no haber llegado todavía a la etapa de extorsión.

La combinación de una puntuación CVSS casi perfecta, sin requisito de autenticación y dos semanas de ventaja sobre los defensores hace de CVE-2026-35273 una de las vulnerabilidades empresariales más graves de 2026. La ventana para la acción preventiva se ha cerrado. La ventana para la contención y la respuesta está abierta ahora.

zero-daydata-breachshinyhuntersoraclepeoplesoftcve-2026-35273

Originally reported by The Hacker News. Read the original article for additional details.

View original source
Compartir: