Google bestätigt Ausnutzung einer Oracle-PeopleSoft-Zero-Day-Lücke durch ShinyHunters

Oracle hat für CVE-2026-35273 einen außerplanmäßigen Hinweis und einen Sicherheitsalarm veröffentlicht. Die Schwachstelle ermöglicht eine nicht authentifizierte Remotecodeausführung und betrifft PeopleSoft Enterprise PeopleTools in den Versionen 8.61 und 8.62 sowie PeopleSoft Enterprise Applications. Oracle hat nach eigenen Angaben Gegenmaßnahmen bereitgestellt, öffentlich verfügbare Patches scheinen aber nicht vorzuliegen.

PeopleSoft ist eine ERP-Suite, die in großen Organisationen für eine breite Palette geschäftlicher Abläufe eingesetzt wird, darunter Personalwesen, Gehaltsabrechnung, Finanzen, Lieferkette und Campus-Betrieb. Obwohl die Software in vielen Branchen genutzt wird, richtete sich die von ShinyHunters geführte Kampagne laut Google offenbar vor allem gegen den Bildungssektor. Als erstes bestätigtes Opfer wird die University of Nottingham im Vereinigten Königreich genannt.

Mandiant und die Google Threat Intelligence Group beobachteten Aktivitäten im Zusammenhang mit der Ausnutzung der PeopleSoft-Zero-Day-Lücke zwischen dem 27. Mai und dem 9. Juni. Die Angriffe schreiben die Forscher ShinyHunters zu, die Google unter der Bezeichnung UNC6240 führt. Google teilte mit, mehr als 100 Organisationen weltweit über eine mögliche Gefährdung informiert zu haben. Die Mehrheit dieser Organisationen sitzt in den USA, 68 Prozent stammen aus dem Bereich der Hochschulbildung.

Nach Angaben von Google konnten einige Ziele den Angriff abwehren. In anderen Fällen wurden Systeme kompromittiert und Daten gestohlen. ShinyHunters beansprucht demnach, rund 300 PeopleSoft-Instanzen von 100 Organisationen ins Visier genommen zu haben.

Mandiant und GTIG beschrieben auch Elemente der Angriffsinfrastruktur. Die von den Angreifern genutzten Staging-Umgebungen hosteten angepasste MeshCentral-Agenten, die sich als legitime Cloud-Endpunkte ausgaben. Diese nutzten die Täter laut den Forschern, um administrative Befehlsabfragen auszuführen und ein angepasstes Skript für laterale Bewegungen und Verunstaltung mit dem Namen „[Opfer-Kürzel]_fanout.sh“ auszurollen.

Laut Mandiant und GTIG korreliert die Kampagne direkt mit späteren Datenlecks, bei denen gestohlene Organisationsdaten auf der Datenleck-Seite von ShinyHunters veröffentlicht wurden. Google hat nach eigenen Angaben Empfehlungen zur Behebung und Härtung sowie technische Details zu den Angriffen und Indikatoren einer Kompromittierung veröffentlicht.

Oracle hat auf eine Anfrage von SecurityWeek zur Ausnutzung der Schwachstelle nicht reagiert. TrendAI, das Unternehmensgeschäft von Trend Micro, dessen Forscher von Oracle für die Meldung von CVE-2026-35273 genannt werden, erklärte gegenüber SecurityWeek, man beobachte derzeit eine begrenzte Ausnutzung der Lücke; die Untersuchung dauere noch an.