CVE-2026-35273 steckt in der Komponente Updates Environment Management, also dem Teil hinter dem Environment Management Hub (PSEMHUB). Oracle führt PeopleTools 8.61 und 8.62 als betroffen auf und erklärt, dass vermutlich auch ältere, nicht unterstützte Versionen verwundbar sind. Den Hinweis auf die Lücke schreibt Oracle Forschern von TrendAI Zero Day Initiative und TrendAI Research zu.
Mandiant-CTO Charles Carmakal bestätigte, dass die Schwachstelle bereits aktiv ausgenutzt wird. Oracle selbst erklärte nicht, ob der Hersteller ebenfalls Ausnutzung beobachtet hat. In der Oracle-Warnung wird auf ein Dokument zur Verfügbarkeit von Patches verwiesen, das nur nach Anmeldung im Support-Portal zugänglich ist; ob eine vollständige Behebung breit verfügbar ist, bleibt damit unklar. Bislang liegt der Schwerpunkt der Empfehlungen auf Gegenmaßnahmen.
Öffentlich wurden Details zur Infrastruktur der Angreifer, weil diese eigene Systeme offen erreichbar betrieben. Der Forscher @nahamike01 machte auf offene Verzeichnisse aufmerksam. Mandiant untersuchte daraufhin fünf aufeinanderfolgende IP-Adressen, auf denen Python SimpleHTTP auf Port 8888 lief. Dort lagen unter anderem eine gemeinsame .bash_history, angepasste MeshCentral-Agenten zur Fernverwaltung, die als Microsoft-Azure-Binärdateien getarnt waren, sowie ein Skript für seitliche Bewegung im Netzwerk.
Die Agenten verbanden sich laut Mandiant mit dem Command-and-Control-Server unter azurenetfiles.net, einer Domain, die wie Azure NetApp Files wirken sollte. Das Skript mit dem Namen [victim]_fanout.sh verbreitet sich per SSH, indem es eine fest kodierte Liste aus Benutzernamen und Passwörtern gegen interne Hosts einsetzt, die aus /etc/hosts ausgelesen werden. Anschließend legt es in PeopleSoft-Verzeichnissen die Markierungsdatei README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT ab. Aus der Befehlshistorie geht außerdem hervor, dass Daten mit zstd komprimiert und per ausgehender SSH-Verbindung an den Server übertragen wurden, der den öffentlichen Spiegel der ShinyHunters-Leak-Site hostet.
Mandiant informierte mehr als 100 Organisationen, deren IP-Adressen zu verwundbaren Endpunkten passten. 68 Prozent davon stammten aus dem Hochschulbereich, die meisten in den USA. Ein Teil dieser Organisationen blockierte die Aktivität, andere wurden kompromittiert und fanden ihre Daten auf der Leak-Site wieder.
Zu den ersten bestätigten Opfern gehört die University of Nottingham. Have I Been Pwned zählte in dem geleakten Datensatz rund 455.000 eindeutige E-Mail-Adressen von aktuellen Studierenden und Alumni. Enthalten waren Namen, Anschriften, Telefonnummern, Passnummern sowie Angaben zu ethnischer Zugehörigkeit und Behinderungen. Die Universität hat den Vorfall bestätigt.
Oracle rät dazu, den Environment-Management-Hub-Dienst in Mehrserver-Umgebungen zu deaktivieren oder in Einzelserver-Installationen die Anwendung PSEMHUB vollständig zu entfernen. Falls beides nicht möglich ist, soll der externe Zugriff auf /PSEMHUB/*, insbesondere /PSEMHUB/hub, sowie auf /PSIGW/HttpListeningConnector am Perimeter blockiert werden. Mandiant warnt zudem, dass reine WAF-Regeln zur Inspektion des Anfragekörpers nicht ausreichen, weil sie umgangen werden können. Das Einschränken dieser Endpunkte beeinträchtige normale Benutzersitzungen nicht.