ShinyHunters hackeia Oracle PeopleSoft em 100 organizações

O grupo de extorsão digital ShinyHunters explorou uma vulnerabilidade zero-day crítica no Oracle PeopleSoft para invadir mais de 100 organizações em pelo menos 300 instâncias — e roubar dados de centenas de milhares de pessoas. O CVE-2026-35273, com CVSS 9.8, permite execução remota de código sem autenticação. O Oracle só publicou o patch no dia 10 de junho, depois que os ataques já estavam em curso desde 27 de maio. Entre as vítimas confirmadas estão a Universidade de Nottingham (455 mil registos vazados) e o Conselho da Europa (297 GB de dados sensíveis).

A cadeia de exploração

Segundo a análise da Mandiant e do Google Threat Intelligence Group, a vulnerabilidade reside no componente Updates Environment Management do PeopleTools, especificamente na interface do Environment Management Hub (PSEMHUB). A falha exige apenas acesso HTTP à rede — sem login, sem interação do utilizador.

O exploit é direto: o atacante envia uma requisição HTTP POST para o endpoint /PSEMHUB/hub e executa código arbitrário como root no servidor. A Mandiant identificou que 68% dos IPs expostos pertenciam a instituições de ensino superior, a maioria nos Estados Unidos.

O grupo deixou rastros evidentes durante a operação. Investigadores flagraram diretórios abertos com servidores Python em porta 8888, scripts de movimentação lateral via SSH (fanout.sh), agentes de acesso remoto disfarçados de binários do Azure, e um ficheiro de marcação com o nome README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT deixado nos diretórios do PeopleSoft. A infraestrutura de comando e controle apontava para o domínio azurenetfiles.net, deliberadamente registado para se parecer com o serviço legítimo Azure NetApp Files da Microsoft.

CVE-2026-35273: o zero-day

O Oracle classifica o CVE-2026-35273 como falha de execução remota de código no PeopleSoft Enterprise PeopleTools 8.61 e 8.62, com versões mais antigas e sem suporte provavelmente afectadas. A pontuação CVSS 9.8 indica severidade máxima.

O problema é temporal: o patch só saiu em 10 de junho, mas a janela de ataque começou em 27 de maio. Durante duas semanas, quem usava o PeopleSoft com o PSEMHUB acessível pela internet estava completamente exposto. O Oracle creditou a descoberta ao TrendAI Zero Day Initiative e à TrendAI Research, mas não confirmou publicamente se houve exploração antes do advisory.

Este não é o primeiro problema do género. Nos meses anteriores, o fabricante corrigiu outras falhas no mesmo produto: CVE-2026-22019 em abril, CVE-2026-21934 em janeiro, e CVE-2026-34299 também em abril. A cadeia de vulnerabilidades antigas não corrigidas pelos clientes criou o terreno para o ataque.

Vítimas e escala do vazamento

A Universidade de Nottingham confirmou o acesso não autorizado e o vazamento de dados de estudantes e ex-alunos. O Have I Been Pwned registrou cerca de 455 mil endereços de e-mail únicos na massa de dados publicada, incluindo nomes, endereços, números de passaporte, informações sobre etnia e deficiências.

O Conselho da Europa foi outra vítima de alto perfil: 429 mil ficheiros com registos de RH, folhas de pagamento, ordens de compra, dados bancários, fiscais e médicos de funcionários — 297 GB em total. O órgão afirmou estar a investigar o incidente.

Métrica Dado confirmado
Organizações afectadas Mais de 100
Instâncias vulneráveis 300+
Setor mais atingido Educação superior (68%)
Dados da Nottingham 455 mil e-mails únicos
Dados do Conselho da Europa 297 GB, 429 mil ficheiros
CVSS da vulnerabilidade 9.8 (crítico)
Janela de exploração 27 de maio a 9 de junho

Indicadores de comprometimento

A Mandiant publicou um conjunto de indicadores de comprometimento (IoCs) específicos. Administradores devem verificar imediatamente:

  1. Logs do WebLogic por pedidos POST externos para /PSEMHUB/hub ou /PSIGW/HttpListeningConnector.
  2. Ficheiros .jsp inesperados no diretório da aplicação PSEMHUB.war.
  3. Directórios incomuns como logs, persistantstorage ou scratchpad nos caminhos do PSEMHUB.
  4. Tráfego SMB de saída na porta 445 de hosts PeopleSoft para destinos externos.
  5. Alterações recentes em ficheiros .xml no caminho envmetadata/data/environment, susceptíveis de persistência via XMLDecoder.

Mitigação e próximos passos

O Oracle recomenda desactivar o serviço Environment Management Hub em instalações multi-servidor ou remover completamente a aplicação PSEMHUB em instalações single-servidor. Quando nenhuma opção for viável, bloquear o acesso externo aos endpoints /PSEMHUB/* e /PSIGW/HttpListeningConnector no perímetro de rede.

A Mandiant alertou que regras de WAF com inspeção de corpo não são suficientes para bloquear o exploit — a cadeia de exploração consegue bypassar essas defesas. Restringir os endpoints na firewall de perímetro é a medida mais eficaz, e não interfere nas sessões normais de utilizadores.

Instalações já comprometidas precisam de resposta de incidentes completa: rotação de credenciais, análise forense dos logs, revogação de acessos e verificação de persistência. Actualizar o PeopleTools sem limpar o ambiente deixa o atacante no sistema.

O ataque sistemático à educação

Este incidente não é isolado. Em maio, o mesmo grupo ShinyHunters atacou a plataforma Canvas da Instructure, afectando dados de 275 milhões de estudantes. Em 2025, uma violação do Oracle E-Business Suite expôs 3,5 milhões de registos na Universidade de Phoenix. Em 2024, credenciais antigas permitiram o acesso ao PowerSchool e ao roubo de dados de milhares de escolas.

O padrão é claro: o sector educativo tornou-se alvo preferencial — como vimos no primeiro relato do PeopleSoft hackeado e na campanha de vazamentos da Kodak. As instituições gerenciam volumes enormes de dados sensíveis, frequentemente em sistemas legados com patches atrasados. As empresas de ed-tech que centralizam dados de múltiplas instituições multiplicam o impacto de um único breach. Qualquer organização que usa PeopleSoft com o Environment Management Hub acessível pela internet precisa actuar agora — a exploração não vai parar.

Referências