In einem neuen Sicherheitshinweis schreibt Oracle, der Alarm betreffe die Schwachstelle CVE-2026-35273 in Oracle PeopleSoft PeopleTools. Davon könnten auch Kunden von Oracle PeopleSoft Enterprise Applications betroffen sein. Laut Oracle ist die Lücke aus der Ferne ohne Authentifizierung ausnutzbar; eine erfolgreiche Ausnutzung könne zu Remotecodeausführung führen.

Betroffen sind nach Herstellerangaben PeopleSoft Enterprise PeopleTools in den Versionen 8.61 und 8.62. Oracle hat Notfallmaßnahmen zur Eindämmung veröffentlicht, ein regulärer Patch steht noch aus. Dass Oracle in seinem Hinweis nicht ausdrücklich von aktiver Ausnutzung spricht, macht den Kontext der Veröffentlichung umso wichtiger: Sie folgt auf Berichte über laufende Angriffe auf PeopleSoft-Instanzen.

BleepingComputer hatte zuerst berichtet, dass die Erpressergruppe ShinyHunters eine PeopleSoft-Zero-Day-Lücke für Einbrüche und Datendiebstahl verwendet. Später erklärte das Medium, inzwischen erfahren zu haben, dass es sich dabei um genau diese Schwachstelle handelt. Charles Carmakal, CTO bei Mandiant - Google Cloud, bestätigte zudem auf LinkedIn, dass CVE-2026-35273 aktiv ausgenutzt wird, und verwies ebenfalls darauf, dass Oracle Gegenmaßnahmen veröffentlicht hat.

Nach Angaben von BleepingComputer geriet Oracle PeopleSoft am Dienstag in eine Welle von Datendiebstahl-Angriffen, bei denen Erpressernotizen hinterlassen wurden, die angeblich von ShinyHunters stammten. Die Gruppe gilt als bekannter Bedrohungsakteur, der häufig Cloud-SaaS-Instanzen, CRM-Systeme und Unternehmensplattformen mit großen Mengen an Firmendaten kompromittiert. Nach einem erfolgreichen Zugriff lade die Gruppe Daten herunter und fordere Lösegeld, um eine Veröffentlichung zu verhindern.

ShinyHunters wurde im vergangenen Jahr mit mehreren bekannten Angriffen auf SnowFlake, Salesforce und Drittanbieter für Integrationen in Verbindung gebracht. Gegenüber BleepingComputer bestätigte die Gruppe, hinter den aktuellen Angriffen zu stehen. Dabei habe sie eigenen Angaben zufolge eine „Kette von Hilfskomponenten“ aus alten und Zero-Day-Schwachstellen genutzt, um PeopleSoft-Instanzen zu kompromittieren.

Mit der hier behandelten Lücke sollen die Angreifer angeblich Daten aus 300 Instanzen von mehr als 100 Organisationen entwendet haben. Diese Angabe stammt aus den Aussagen der Gruppe, wie sie von BleepingComputer wiedergegeben wurden. Eine unabhängige Bestätigung durch Oracle liegt im Quelltext nicht vor.

Der Sicherheitsforscher „Michael R“ entdeckte mehrere offen erreichbare Online-Verzeichnisse mit Werkzeugen, die mit den Angriffen in Zusammenhang stehen sollen, und teilte die dabei verwendeten IP-Adressen. BleepingComputer erklärte, Betreiber von Oracle PeopleSoft sollten Protokolle auf Verbindungen von diesen Adressen prüfen, um festzustellen, ob sie Ziel der Angriffe waren.

BleepingComputer teilte außerdem mit, Oracle mit Fragen zur Schwachstelle und zu den Angriffen kontaktiert zu haben, bislang jedoch ohne Antwort.