AIO APEX
Security

ShinyHunters Explorou o CVE-2026-35273 por Duas Semanas Antes de a Oracle Publicar um Patch, Comprometendo Mais de 100 Organizações

The Hacker News
Compartilhar:
ShinyHunters Explorou o CVE-2026-35273 por Duas Semanas Antes de a Oracle Publicar um Patch, Comprometendo Mais de 100 Organizações

Duas Semanas, Sem Patch, Mais de 100 Vítimas: Zero-Day no Oracle PeopleSoft Tornou-se a Campanha Mais Destrutiva do ShinyHunters

Entre 27 de maio e 9 de junho de 2026, o grupo ShinyHunters — rastreado pela equipe Mandiant do Google como UNC6240 — moveu-se silenciosamente por implantações PeopleSoft em universidades e faculdades nos Estados Unidos e além. A Oracle não publicou um aviso fora do ciclo regular para a vulnerabilidade subjacente, CVE-2026-35273, até 10 de junho. Todas as violações ocorridas nesse intervalo aconteceram contra um zero-day sem qualquer correção disponível.

A vulnerabilidade possui uma pontuação CVSS de 9,8 em 10. Trata-se de uma falha de Server-Side Request Forgery (SSRF) não autenticada no Oracle PeopleSoft Enterprise PeopleTools versões 8.61 e 8.62, e pesquisadores acreditam que versões anteriores sem suporte são igualmente vulneráveis. Nenhuma credencial é necessária para acioná-la — um atacante com apenas acesso de rede via HTTP consegue alcançar os endpoints afetados e escalar para Remote Code Execution.

O Que Foi Explorado e Como

O componente vulnerável é o Environment Management Hub do PeopleSoft, conhecido como PSEMHUB. Dois endpoints específicos foram alvejados: /PSEMHUB/hub e /PSIGW/HttpListeningConnector. Como essas interfaces às vezes ficam expostas à internet por conveniência administrativa, o ShinyHunters conseguiu sondá-las e comprometê-las em larga escala sem qualquer ponto de apoio prévio dentro das redes das vítimas.

Uma vez dentro, o grupo estabeleceu persistência por meio de um servidor de command-and-control em azurenetfiles.net — um domínio criado para se confundir com a infraestrutura legítima do Azure NetApp Files. A movimentação lateral foi automatizada por meio de shell scripts específicos para cada vítima, seguindo o padrão de nomenclatura [vítima]_fanout.sh. Os diretórios PeopleSoft comprometidos receberam um cartão de visita: um arquivo de texto simples chamado README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT.

A Mandiant observou que esse ataque marca uma evolução tática para o ShinyHunters. O grupo construiu sua reputação em campanhas de vishing e roubo de tokens OAuth — métodos que dependem da manipulação de pessoas. Transformar em arma uma vulnerabilidade server-side sem correção em software ERP on-premises amplamente implantado é uma categoria diferente de capacidade, e produziu resultados correspondentemente maiores.

Escala e Danos Confirmados

Quando o aviso da Oracle foi publicado, mais de 100 organizações tinham sido comprometidas em mais de 300 instâncias PeopleSoft. A distribuição setorial é marcante: 68% das vítimas estão no ensino superior, predominantemente faculdades e universidades americanas. O PeopleSoft permanece profundamente integrado nos sistemas de RH, registros de alunos e sistemas financeiros das universidades — uma combinação que tornou essas instituições tanto alvos de alto valor quanto vítimas de alto impacto.

A Universidade de Nottingham confirmou uma violação. O Have I Been Pwned registrou 455.000 endereços de e-mail únicos nos dados vazados, com registros incluindo nomes, endereços postais, números de telefone, números de passaporte, etnia e informações sobre deficiência. A sensibilidade desse conjunto de dados — abrangendo categorias protegidas pelo GDPR e estatutos equivalentes — significa que os indivíduos afetados enfrentarão riscos elevados de fraude de identidade e phishing direcionado por anos.

O ShinyHunters declarou publicamente que o contato com as vítimas está apenas começando. Organizações adicionais devem esperar ser identificadas à medida que o grupo avança em seu pipeline de extorsão.

A CISA adicionou o CVE-2026-35273 ao seu catálogo Known Exploited Vulnerabilities (KEV) em 12 de junho, dois dias após o aviso da Oracle. Agências federais sob a diretriz da CISA são obrigadas a remediar em um prazo acelerado, mas a inclusão no KEV também serve como um sinal formal para o setor em geral de que a exploração está confirmada e ativa.

O Que os Defensores Devem Fazer Agora

A Oracle publicou um patch. Aplique-o imediatamente. Para organizações que não podem aplicar o patch agora, duas mitigações provisórias estão disponíveis:

  • Desabilite o serviço PSEMHUB completamente se ele não for operacionalmente necessário. Isso elimina a superfície de ataque na raiz.
  • Bloqueie o acesso externo no perímetro da rede para os caminhos /PSEMHUB/* e /PSIGW/HttpListeningConnector. Não exponha esses endpoints à internet pública em hipótese alguma.

A Mandiant alertou explicitamente que regras de inspeção de corpo de WAF sozinhas não são suficientes para bloquear a exploração dessa vulnerabilidade. Organizações que implantaram firewalls de aplicação web como controle primário e não tomaram as medidas acima devem se considerar desprotegidas até que o façam.

Além da aplicação do patch e dos controles de acesso, os defensores devem buscar os IOC conhecidos em seus ambientes:

  • Conexões de saída ou consultas DNS para azurenetfiles.net
  • Shell scripts em hosts PeopleSoft correspondendo ao padrão de nomenclatura [vítima]_fanout.sh
  • Presença de README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT em qualquer diretório PeopleSoft
  • Requisições HTTP incomuns para os endpoints PSEMHUB ou PSIGW nos logs de servidores web e de aplicação

Considerando que a janela de exploração foi aberta em 27 de maio, qualquer organização que estava executando uma instância PeopleSoft acessível pela internet nas versões 8.61 ou 8.62 durante esse período deve realizar uma revisão completa de resposta a incidentes, independentemente de ter observado indicadores. A ausência de um arquivo README não é confirmação de um ambiente limpo — significa que o ShinyHunters pode ainda não ter chegado à fase de extorsão.

A combinação de uma pontuação CVSS quase perfeita, ausência de requisito de autenticação e duas semanas de vantagem sobre os defensores torna o CVE-2026-35273 uma das vulnerabilidades empresariais mais consequentes de 2026. A janela para ação preventiva se fechou. A janela para contenção e resposta está aberta agora.

zero-daydata-breachshinyhuntersoraclepeoplesoftcve-2026-35273

Originally reported by The Hacker News. Read the original article for additional details.

View original source
Compartilhar: