A Oracle lançou em 10 de junho de 2026 um alerta de segurança emergencial para a vulnerabilidade CVE-2026-35273 no PeopleSoft PeopleTools, uma falha de execução remota de código explorável sem autenticação que está sendo ativamente explorada na internet selvagem. Charles Carmakal, CTO da Mandiant (Google Cloud), confirmou a exploração em andamento, enquanto o grupo ShinyHunters afirma ter invadido mais de 100 organizações usando uma cadeia de vulnerabilidades que inclui este zero-day.
O que é o CVE-2026-35273
A vulnerabilidade afeta as versões 8.61 e 8.62 do PeopleSoft PeopleTools, e possivelmente versões anteriores sem suporte. Trata-se de uma falha que permite execução remota de código sem necessidade de autenticação, o que significa que qualquer atacante com acesso à interface web do PeopleSoft pode comprometer o servidor remoto. A Oracle creditou a descoberta a pesquisadores da TrendAI Zero Day Initiative e da TrendAI Research, mas não confirmou oficialmente se a falha está sendo explorada, apesar de questionada pela imprensa especializada.
Conexão com o ShinyHunters
O alerta foi publicado no mesmo dia em que a BleepingComputer relatou que o grupo ShinyHunters hackeou 300 servidores Oracle PeopleSoft e roubou dados de mais de 100 organizações. O grupo utiliza uma “gadget chain” — combinação de vulnerabilidades antigas e zero-days — para comprometer instâncias tanto em nuvem quanto on-premises. A Universidade de Nottingham, já confirmada como vítima, teve dados de quase 500 mil estudantes e ex-alunos vazados, incluindo registros financeiros e acadêmicos.
Versões afetadas e mitigação
A Oracle direciona os clientes para um documento de disponibilidade de patches acessível apenas com conta de suporte ativa. Até o momento, não está claro se o patch já está disponível para todas as versões afetadas. O que se sabe sobre o escopo:
| Versão | Status |
|---|---|
| PeopleTools 8.62 | Afetada — patch em distribuição |
| PeopleTools 8.61 | Afetada — patch em distribuição |
| Versões anteriores (sem suporte) | Provavelmente afetadas — sem patch previsto |
O que fazer agora
Administradores PeopleSoft devem aplicar o patch emergencial imediatamente, verificar logs de acesso em busca de conexões originadas dos IPs 142.11.200[.]186 a 142.11.200[.]190 e do domínio azurenetfiles[.]net, isolar servidores PeopleSoft da internet sempre que possível e rotacionar todas as credenciais administrativas, especialmente as contas padrão psoft, oracle e linuxadm. Se a aplicação de patches não for viável de imediato, restrinja o acesso ao PeopleSoft via VPN e implemente WAF com regras específicas para bloquear tentativas de exploração de gadget chains. O script uon_fanout.sh, identificado em investigações anteriores, evidencia que os atacantes possuem conhecimento profundo da arquitetura PeopleSoft.