O grupo criminoso ShinyHunters explorou uma vulnerabilidade zero-day de gravidade crítica (CVE-2026-35273, CVSS 9.8) no Oracle PeopleSoft para invadir mais de 100 organizações entre 27 de maio e 9 de junho de 2026. Universidades foram as principais vítimas. A Oracle publicou o advisory de segurança apenas em 10 de junho, deixando todos os alvos expostos durante as duas semanas de ataque.
Ameaça e descoberta da campanha
O grupo de extorsão ShinyHunters, rastreado como UNC6240 pela Mandiant (divisão de segurança do Google Cloud), conduziu a campanha de invasão entre 27 de maio e 9 de junho de 2026. A Oracle publicou seu out-of-band security alert somente em 10 de junho de 2026, confirmando que a falha foi explorada como zero-day durante todo o período de ataque, segundo Help Net Security.
Charles Carmakal, CTO da Mandiant, confirmou publicamente a exploração ativa da vulnerabilidade. A Oracle creditou pesquisadores do TrendAI Zero Day Initiative e TrendAI Research pela descoberta da falha, mas não comentou se observou exploração antes de emitir o alerta, conforme reportado por The Hacker News.
Detalhes técnicos da vulnerabilidade
A falha CVE-2026-35273 recebeu pontuação CVSS 9.8 de 10, classificada como crítica. Trata-se de uma vulnerabilidade de execução remota de código (RCE) no componente Updates Environment Management do Oracle PeopleSoft Enterprise PeopleTools — a peça de código por trás do Environment Management Hub (PSEMHUB). A exploração não exige autenticação, não requer interação do usuário e precisa apenas de acesso à rede via HTTP, segundo o advisory da Censys.
A Oracle lista as versões PeopleTools 8.61 e 8.62 como afetadas e alerta que versões anteriores sem suporte também são provavelmente vulneráveis. Qualquer organização com o PSEMHUB acessível pela internet tem exposição direta ao ataque.
| Versão do PeopleTools | Status | CVSS | Exige Autenticação |
|---|---|---|---|
| 8.62 | Afetada | 9.8 (Crítica) | Não |
| 8.61 | Afetada | 9.8 (Crítica) | Não |
| 8.60 e anteriores | Provavelmente afetada (sem suporte) | 9.8 (Crítica) | Não |
Erro operacional expõe atacantes
A campanha veio à tona por um erro de segurança dos próprios atacantes. O pesquisador identificado como @nahamike01 identificou diretórios abertos em cinco endereços IP sequenciais que executavam o SimpleHTTPServer do Python na porta 8888. A Mandiant analisou os servidores e encontrou arquivos de staging expostos: um .bash_history compartilhado, agentes remotos personalizados do MeshCentral disfarçados como binários do Microsoft Azure, e um script de movimento lateral, conforme The Hacker News.
Os agentes do MeshCentral comunicavam-se com um servidor de comando e controle no domínio azurenetfiles.net, criado para se assemelhar ao Azure NetApp Files. O script de movimento lateral, chamado [victim]_fanout.sh, propagava-se via SSH usando uma lista fixa de usuários e senhas contra hosts internos extraídos de /etc/hosts, e deixava um arquivo marcador chamado README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT nos diretórios do PeopleSoft. O histórico de comandos mostra os dados roubados comprimidos com zstd e uma conexão SSH de saída para o servidor que hospeda o site de vazamentos do ShinyHunters.
Vítimas e dados comprometidos
A Mandiant notificou mais de 100 organizações cujos endereços IP correspondiam a endpoints vulneráveis. 68% estavam no ensino superior, a maioria nos Estados Unidos. Algumas bloquearam a atividade; outras foram comprometidas e tiveram dados publicados no site de vazamentos do grupo, segundo confirmação da Mandiant à Help Net Security.
A University of Nottingham é uma das primeiras vítimas confirmadas. A universidade reconheceu o incidente de segurança e notificou estudantes e ex-alunos afetados. A plataforma Have I Been Pwned contabilizou aproximadamente 455.000 endereços de e-mail únicos no conjunto de dados vazado, cobrindo estudantes atuais e ex-alunos. Os dados expostos incluem nomes, endereços, números de telefone, números de passaporte e detalhes sobre etnia e deficiências.
O ShinyHunters declarou que a notificação de vítimas recém-começou e que ainda não publicou a maioria das organizações que alega ter comprometido. Mais nomes devem aparecer nas próximas semanas, aumentando o escopo do incidente.
Cronologia detalhada do ataque
- 27 de maio de 2026 — Início da janela de exploração ativa do CVE-2026-35273 pelo ShinyHunters contra servidores PeopleSoft.
- 9 de junho de 2026 — Fim da janela de ataque confirmada pela Mandiant e Google Threat Intelligence.
- 10 de junho de 2026 — Oracle publica advisory de segurança fora de banda para CVE-2026-35273 sem confirmação de patch público.
- 11 de junho de 2026 — Mandiant confirma atribuição a UNC6240 e exploração como zero-day; Charles Carmakal emite alerta público.
- 11 de junho de 2026 — Pesquisador @nahamike01 expõe diretórios de staging com ferramentas de ataque e lista de IPs comprometidos.
- Em andamento — ShinyHunters afirma ter mais vítimas não reveladas; patch permanece em disponibilidade incerta no My Oracle Support.
Como se proteger agora
A orientação da Oracle e da Mandiant foca em mitigação imediata. Administradores de PeopleSoft devem desativar o serviço Environment Management Hub em configurações multi-servidor, ou remover completamente a aplicação PSEMHUB em configurações de servidor único. Se nenhuma dessas opções for viável, é necessário bloquear o acesso externo aos endpoints /PSEMHUB/* (especialmente /PSEMHUB/hub) e /PSIGW/HttpListeningConnector no perímetro da rede ou firewall.
A Mandiant alerta que regras de inspeção de corpo (body inspection) em WAF isoladamente não são suficientes, pois podem ser contornadas. A restrição deve ocorrer na camada de rede. Restringir esses endpoints não interrompe sessões normais de usuários.
Equipes de segurança devem monitorar sinais de comprometimento existente: logs de acesso do WebLogic mostrando requisições POST externas para /PSEMHUB/hub ou /PSIGW/HttpListeningConnector; arquivos .jsp inesperados no diretório PSEMHUB.war; tráfego SMB de saída na porta 445 de hosts PeopleSoft para destinos externos; e conexões para o domínio azurenetfiles.net. A atualização do PeopleTools deve ser aplicada assim que confirmada como disponível no My Oracle Support.