A Oracle publicou na quarta-feira, 10 de junho de 2026, um alerta de segurança fora de banda para uma vulnerabilidade crítica de zero-day no PeopleSoft PeopleTools, rastreada como CVE-2026-35273. A falha, com pontuação CVSS de 9,8, permite execução remota de código sem autenticação e já é explorada pelo grupo criminoso ShinyHunters contra mais de 100 organizações, em sua maioria universidades, segundo o Mandiant.

O alerta fora de banda

A vulnerabilidade CVE-2026-35273 afeta o componente Environment Management do PeopleSoft Enterprise PeopleTools, nas versões 8.61 e 8.62, e possivelmente versões anteriores sem suporte. A Oracle classificou o risco como “facilmente explorável” e liberou um patch de emergência no mesmo dia do aviso, reforçando a urgência da correção, conforme detalhou a Rapid7.

A falha foi reportada à Oracle pelo programa Zero Day Initiative e pela equipe de pesquisa da TrendAI, que a classificaram como um server-side request forgery (SSRF), categoria CWE-918. O CTO do Mandiant, Charles Carmakal, alertou publicamente sobre a exploração ativa no dia 11 de junho, segundo a Help Net Security. Dois dias depois, a agência norte-americana CISA incluiu a falha em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV).

Componente afetado Versões CVSS Tipo de falha
PeopleSoft PeopleTools (Environment Management Hub) 8.61 e 8.62 9,8 (crítica) SSRF (CWE-918) → RCE

Como o ataque acontece

O Mandiant, divisão do Google Cloud, descreveu a exploração da vulnerabilidade PeopleSoft como um ataque remoto que dispensa credenciais. Dois endpoints do produto são o alvo central: /PSEMHUB/hub e /PSIGW/HttpListeningConnector. O invasor envia uma requisição maliciosa que abusa do Environment Management Hub (PSEMHUB) para forçar o servidor a executar código arbitrário.

A cadeia de exploração pode também induzir o sistema comprometido a abrir conexões de saída pela porta SMB (TCP 445) para servidores externos, o que permite capturar hashes de autenticação NetNTLM de contas de máquina Windows. A Rapid7 observa que o endpoint /PSIGW/HttpListeningConnector já havia aparecido em cadeias de exploração antigas do PeopleSoft, incluindo a CVE-2013-3821, documentada pela Lexfo em 2017, o que indica reuso de superfícies de ataque conhecidas.

Vítimas e dados roubados

O Mandiant e o Google Threat Intelligence Group atribuíram a campanha ao grupo UNC6240, identificado como o coletivo ShinyHunters, conhecido por roubo de dados e extorsão. A operação atingiu predominantemente o setor de ensino superior: cerca de 68% das mais de 100 organizações notificadas eram universidades e faculdades.

Entre as vítimas confirmadas está a Universidade de Nottingham, no Reino Unido, que reconheceu ter sofrido um incidente de segurança e notificou estudantes e ex-alunos. O ShinyHunters afirmou ter vazado dezenas de gigabytes de dados, incluindo informações pessoais e registros acadêmicos de quase 500 mil estudantes atuais e antigos. Os dados roubados foram publicados no site de vazamentos do grupo em 9 de junho de 2026, um dia antes do alerta oficial da Oracle, conforme reportou a BleepingComputer.

Cronologia da exploração

  • 27 de maio de 2026 — Início da exploração ativa da falha como zero-day, duas semanas antes do aviso da Oracle.
  • 9 de junho de 2026 — ShinyHunters publica os dados roubados no seu site de vazamentos.
  • 10 de junho de 2026 — Oracle emite alerta fora de banda e libera patch de emergência para CVE-2026-35273.
  • 11 de junho de 2026 — Mandiant atribui a campanha a UNC6240 (ShinyHunters); Charles Carmakal alerta o público.
  • 12 de junho de 2026 — CISA adiciona CVE-2026-35273 ao catálogo KEV, exigindo correção rápida por órgãos federais.

Ferramentas e táticas usadas

Um pesquisador de ameaças descobriu diretórios expostos contendo ferramentas usadas nos ataques. No endpoint /pay_or_leak havia dados roubados de mais de 20 organizações. Um log de histórico de comandos revelou um script sob medida, chamado uon_fanout.sh, que espalha marcadores de desfiguração pela infraestrutura PeopleSoft.

Os invasores demonstraram conhecimento profundo do produto: extraíam credenciais do arquivo de configuração psappsrv.cfg, mapeavam todos os nós conectados e identificavam camadas de aplicação web, de processo e de lote. Após a intrusão, o grupo instalava agentes do MeshCentral, uma plataforma de gerenciamento remoto de código aberto, disfarçados como serviços do Microsoft Azure — como o binário meshagent64-azure-ops.exe — com comunicação de comando e controle direcionada a wss://azurenetfiles[.]net:443/agent.ashx, segundo a análise da Rapid7. Os dados eram comprimidos com o utilitário zstd antes da exfiltração.

Como se proteger agora

Organizações que executam PeopleTools 8.61 ou 8.62 devem aplicar o patch da Oracle imediatamente, sem aguardar o ciclo regular de atualizações. A recomendação consta do aviso oficial e foi reiterada por Mandiant, Rapid7 e Arctic Wolf. Como controles compensatórios, os administradores podem adotar as seguintes medidas:

  • Desativar o serviço Environment Management Hub (EMHub) em configurações multi-server, ou remover completamente a aplicação PSEMHUB em servidores únicos.
  • Bloquear o acesso externo aos caminhos /PSEMHUB/* e /PSIGW/HttpListeningConnector no perímetro da rede ou no firewall.
  • Investigar a presença dos binários de agente MeshCentral e conexões de saída ao domínio malicioso indicado nos indicadores de comprometimento.
  • Verificar histórico de acesso aos endpoints PSEMHUB e arquivos de credenciais como psappsrv.cfg.

O Mandiant salienta que restringir esses endpoints não afeta o funcionamento padrão do PeopleSoft Internet Architecture para usuários finais que acessam o sistema pelo navegador. A janela de exploração pré-patch, de aproximadamente duas semanas, torna a auditoria de logs tão urgente quanto a própria correção.

Fontes