ShinyHunters ја искористуваше Oracle PeopleSoft zero-day ранливоста (CVE-2026-35273) за пробивање во универзитетски системи

Групата за изнуда ShinyHunters искористила непоправена ранливост во Oracle PeopleSoft за да навлезе во корпоративни системи, да украде податоци и да бара откуп за тие да не бидат јавно објавени. Најпогодени од кампањата биле универзитетите.

Според Google Mandiant, нападите се поврзани со групата што тие ја следат под ознаката UNC6240, а активностите се одвивале помеѓу 27 мај и 9 јуни. Oracle го објави своето безбедносно известување дури на 10 јуни, што значи дека ранливоста била zero-day во текот на целиот период.

Ранливоста, означена како CVE-2026-35273, претставува грешка за далечинско извршување на код (Remote Code Execution – RCE) во PeopleSoft Enterprise PeopleTools, со критична оцена од 9,8 од можни 10. За експлоатација не е потребна најава ниту интеракција од корисникот – доволен е мрежен пристап преку HTTP за целосно преземање контрола врз серверот. Организациите кои користат PeopleSoft со Environment Management Hub достапен од интернет се директно изложени на ризик и треба веднаш да го ограничат пристапот до тие крајни точки.

Ранливоста се наоѓа во компонентата Updates Environment Management, која стои зад Environment Management Hub (PSEMHUB). Oracle потврди дека верзиите PeopleTools 8.61 и 8.62 се засегнати, а постои голема веројатност и постарите, неподдржани верзии да бидат ранливи. Компанијата им оддаде признание на истражувачите од TrendAI Zero Day Initiative и TrendAI Research за откривањето на проблемот.

CTO на Mandiant, Чарлс Кармакал, потврди дека ранливоста активно се експлоатира во реални напади. Oracle сè уште нема потврдено дали забележала злоупотреба во пракса. Во своето известување, Oracle упатува на документ за достапност на закрпи кој е достапен само преку корисничка поддршка, па не е целосно јасно дали конечното решение е широко достапно. Засега фокусот е ставен на мерките за ублажување на ризикот.

Деталите за операцијата излегоа во јавноста бидејќи напаѓачите оставиле дел од својата инфраструктура јавно достапна. Истражувачот @nahamike01 прв ги забележал отворените директориуми. Потоа Mandiant анализирал пет последователни IP-адреси на кои работел Python SimpleHTTP сервер на портата 8888. На тие сервери биле достапни фајлови за подготовка на нападот, вклучувајќи заедничка .bash_history датотека, специјално прилагодени MeshCentral агенти за далечинско управување маскирани како Microsoft Azure бинарни датотеки, како и скрипта за латерално движење низ мрежата.

Агентите комуницирале со командно-контролен сервер на доменот azurenetfiles.net, избран така што наликува на Azure NetApp Files. Скриптата наречена [victim]_fanout.sh се шири преку SSH користејќи однапред дефинирана листа на кориснички имиња и лозинки против внатрешни системи добиени од /etc/hosts. Потоа остава датотека-маркер со име README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT во PeopleSoft директориумите. Историјата на команди покажува дека податоците биле компресирани со zstd и испраќани преку SSH кон сервер кој хостирал јавна копија од страницата за протечени податоци на ShinyHunters.

Mandiant известил повеќе од 100 организации чии IP-адреси одговарале на ранливи системи. Од нив, 68% биле институции за високо образование, најголем дел во САД. Некои успеале да ја блокираат активноста, додека кај други дошло до компромитирање и објавување на податоците на страницата за протекување информации.

Еден од првите потврдени случаи е Универзитетот во Нотингем. Сервисот Have I Been Pwned идентификувал околу 455.000 единствени е-поштни адреси во објавените податоци, кои припаѓаат на сегашни и поранешни студенти. Протечените информации вклучуваат имиња, адреси, телефонски броеви, броеви на пасоши, како и податоци за етничка припадност и инвалидитет. Универзитетот официјално го потврди инцидентот.

Oracle препорачува исклучување на услугата Environment Management Hub во конфигурации со повеќе сервери или целосно отстранување на PSEMHUB апликацијата кај инсталации со еден сервер. Доколку тоа не е можно, потребно е да се блокира надворешниот пристап до /PSEMHUB/* (особено /PSEMHUB/hub) и /PSIGW/HttpListeningConnector на мрежниот периметар.

Mandiant предупредува дека само WAF правила за инспекција на HTTP барања не се доволни, бидејќи можат да бидат заобиколени. Ограничувањето на овие крајни точки не влијае на нормалното користење на системот од страна на корисниците.

Организациите треба да проверат и за можни знаци на веќе извршен компромис:

• WebLogic логови со надворешни POST барања кон /PSEMHUB/hub или /PSIGW/HttpListeningConnector.
• Неочекувани .jsp датотеки во директориумот на веб-апликацијата PSEMHUB.war.
• Сомнителни директориуми како logs, persistantstorage или scratchpad во PSEMHUB патеките.
• Неодамна изменети .xml датотеки во envmetadata/data/environment, кои може да се користат за XMLDecoder механизам за трајност што се активира при следното рестартирање.
• Излезен SMB сообраќај на порта 445 од PeopleSoft серверите кон надворешни дестинации, што може да се користи за прибирање на NetNTLM хешови од машински сметки.

Откако ќе стане достапна закрпата за конкретната верзија на PeopleTools, Oracle препорачува нејзино итно инсталирање преку My Oracle Support.

Според ShinyHunters, контактирањето на жртвите штотуку започнало и поголемиот дел од организациите за кои тврдат дека ги компромитирале сè уште не се јавно објавени, што значи дека веројатно ќе следуваат нови откритија.

Методологијата на нападот е особено значајна. Во последниот период ShinyHunters главно се потпираше на vishing напади, украдени токени и слаби механизми за контрола на пристап за кражба на податоци од SaaS и образовни платформи, вклучително и корисници на Salesforce и Canvas. Искористувањето на server-side zero-day ранливост во локално инсталиран ERP систем претставува значителна ескалација во нивните способности и е насочено кон истите цели богати со чувствителни податоци.

Главното прашање што останува отворено е дали ова бил изолиран случај на користење на позајмена zero-day ранливост или почеток на нова фаза во која ShinyHunters активно ќе се насочи кон експлоатација на ERP системи.

Извори:

• The Hacker News – ShinyHunters Exploits Oracle PeopleSoft Zero-Day (CVE-2026-35273) to Breach Universities The Hacker News