De afpersingsploeg van ShinyHunters maakte misbruik van een nog niet herstelde fout in Oracle PeopleSoft om in te breken in bedrijfssystemen, gegevens te stelen en betaling te eisen om deze privé te houden. De campagne trof universiteiten het hardst.
Mandiant van Google schrijft het toe aan de groep die het volgt als UNC6240, en dateert de activiteit tussen 27 mei en 9 juni. Oracle publiceerde zijn advies pas op 10 juni, dus de bug was de hele tijd een zero-day.
De fout, CVE-2026-35273, is een bug bij het uitvoeren van externe code in PeopleSoft Enterprise PeopleTools met een beoordeling van 9,8 uit 10. Er is geen login en geen gebruikersinteractie nodig, alleen netwerktoegang via HTTP, om de server over te nemen. Als u PeopleSoft uitvoert met de Environment Management Hub die van buitenaf bereikbaar is, is dat uw risico, en de onmiddellijke stap is om die eindpunten af te sluiten.
De kwetsbaarheid zit in de Updates Environment Management-component, het onderdeel achter de Environment Management Hub (PSEMHUB). Oracle noemt PeopleTools 8.61 en 8.62 als getroffen en zegt dat eerdere, niet-ondersteunde versies waarschijnlijk ook kwetsbaar zijn. Het crediteert onderzoekers van TrendAI Zero Day Initiative en TrendAI Research voor het rapport.
Mandiant CTO Charles Carmakal bevestigde dat de bug in het wild wordt uitgebuit; Oracle heeft niet gezegd of er sprake is van uitbuiting. Het advies wijst op een document met de beschikbaarheid van patches achter een ondersteuningslogin, en of een volledige oplossing algemeen beschikbaar is, is onduidelijk. Voorlopig concentreren de richtlijnen zich op mitigatie.
Het operationele detail werd openbaar omdat de aanvallers hun eigen uitrusting bloot lieten liggen. Onderzoeker @nahamike01 heeft de open mappen publiekelijk gemarkeerd. Mandiant onderzocht vervolgens vijf opeenvolgende IP-adressen waarop de SimpleHTTP-server van Python op poort 8888 draaide. Die servers lieten de staging-bestanden zien: een gedeelde .bash_history, aangepaste MeshCentral-agents voor extern beheer, vermomd als binaire Microsoft Azure-bestanden, en een lateraal bewegingsscript.
De agenten belden naar een command-and-control-server op azurenetfiles.net, een domein dat eruit zag als Azure NetApp Files. Het script, genaamd (victim)_fanout.sh, verspreidt zich via SSH door een hardgecodeerde lijst met gebruikersnamen en wachtwoorden te verspreiden tegen interne hosts die uit /etc/hosts zijn gehaald, en plaatst vervolgens een markerbestand met de naam README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT in de PeopleSoft-directory’s. De opdrachtgeschiedenis toont de gegevens gecomprimeerd met zstd en een uitgaande SSH-verbinding met de server die de openbare spiegel van de ShinyHunters-leksite host.
Mandiant heeft meer dan 100 organisaties op de hoogte gebracht waarvan de IP-adressen overeenkomen met kwetsbare eindpunten. Achtenzestig procent volgde een hogere opleiding, waarvan de meesten in de Verenigde Staten. Sommigen blokkeerden de activiteit; anderen raakten gecompromitteerd en lieten gegevens op de leklocatie plaatsen.
De Universiteit van Nottingham is een van de eerste bevestigde slachtoffers. Have I Been Pwned heeft ongeveer 455.000 unieke e-mailadressen geteld in de gelekte set, met betrekking tot huidige studenten en alumni, met namen, adressen, telefoonnummers, paspoortnummers en details over etniciteit en handicaps. De universiteit heeft de inbreuk bevestigd.
De richtlijn van Oracle is om de Environment Management Hub-service uit te schakelen bij configuraties met meerdere servers, of om de PSEMHUB-applicatie volledig te verwijderen bij configuraties met één server. Als u beide niet kunt doen, blokkeer dan de externe toegang tot /PSEMHUB/* (vooral /PSEMHUB/hub) en /PSIGW/HttpListeningConnector aan de perimeter.
Mandiant waarschuwt dat de regels voor lichaamsinspectie van de WAF alleen niet voldoende zijn, omdat ze kunnen worden omzeild. Het beperken van deze eindpunten verbreekt de normale gebruikerssessies niet.
Ga vervolgens op zoek naar tekenen van een bestaand compromis:
- WebLogic-toegangslogboeken met externe POST-verzoeken aan /PSEMHUB/hub of /PSIGW/HttpListeningConnector.
- Onverwachte .jsp-bestanden onder de PSEMHUB.war-webtoepassingsmap, of vreemde mappen met de naam logs, persistentstorage of kladblok onder de PSEMHUB-paden.
- Onlangs gewijzigde .xml-bestanden onder de webdoc-root envmetadata/data/environment, die kunnen worden misbruikt voor XMLDecoder-persistentie die wordt geactiveerd bij de volgende herstart.
- Uitgaand SMB-verkeer op poort 445 van PeopleSoft-hosts naar externe bestemmingen, die de exploitketen kan gebruiken om NetNTLM-hashes van machineaccounts vast te leggen.
Pas de update van Oracle voor uw PeopleTools-versie toe zodra u bevestigt dat deze beschikbaar is in My Oracle Support.
ShinyHunters zegt dat de hulpverlening aan slachtoffers nog maar net is begonnen en dat het bedrijf de meeste organisaties die het claimt nog niet heeft gepost, dus er zijn waarschijnlijk nog meer namen.
De methode is het grotere verhaal. ShinyHunters heeft de laatste tijd gebruik gemaakt van vishing, gestolen tokens en zwakke toegangscontroles om gegevens te stelen van SaaS- en onderwijsplatforms, van Salesforce-klanten tot Canvas. Een server-side zero-day in on-premise ERP-software is een stapje verder, gericht op dezelfde datarijke doelstellingen.
De open vraag is of dit een eenmalige geleende zero-day was of het begin van de overstap van ShinyHunters naar ERP-exploitatie.
