A Oracle publicou na quarta-feira, 10 de junho de 2026, um alerta de segurança fora de banda para uma vulnerabilidade crítica de zero-day no PeopleSoft PeopleTools, rastreada como CVE-2026-35273. A falha, com pontuação CVSS de 9,8, permite execução remota de código sem autenticação e já é explorada pelo grupo criminoso ShinyHunters contra mais de 100 organizações, em sua maioria universidades, segundo o Mandiant.
O alerta fora de banda
A vulnerabilidade CVE-2026-35273 afeta o componente Environment Management do PeopleSoft Enterprise PeopleTools, nas versões 8.61 e 8.62, e possivelmente versões anteriores sem suporte. A Oracle classificou o risco como “facilmente explorável” e liberou um patch de emergência no mesmo dia do aviso, reforçando a urgência da correção, conforme detalhou a Rapid7.
A falha foi reportada à Oracle pelo programa Zero Day Initiative e pela equipe de pesquisa da TrendAI, que a classificaram como um server-side request forgery (SSRF), categoria CWE-918. O CTO do Mandiant, Charles Carmakal, alertou publicamente sobre a exploração ativa no dia 11 de junho, segundo a Help Net Security. Dois dias depois, a agência norte-americana CISA incluiu a falha em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV).
| Componente afetado | Versões | CVSS | Tipo de falha |
|---|---|---|---|
| PeopleSoft PeopleTools (Environment Management Hub) | 8.61 e 8.62 | 9,8 (crítica) | SSRF (CWE-918) → RCE |
Como o ataque acontece
O Mandiant, divisão do Google Cloud, descreveu a exploração da vulnerabilidade PeopleSoft como um ataque remoto que dispensa credenciais. Dois endpoints do produto são o alvo central: /PSEMHUB/hub e /PSIGW/HttpListeningConnector. O invasor envia uma requisição maliciosa que abusa do Environment Management Hub (PSEMHUB) para forçar o servidor a executar código arbitrário.
A cadeia de exploração pode também induzir o sistema comprometido a abrir conexões de saída pela porta SMB (TCP 445) para servidores externos, o que permite capturar hashes de autenticação NetNTLM de contas de máquina Windows. A Rapid7 observa que o endpoint /PSIGW/HttpListeningConnector já havia aparecido em cadeias de exploração antigas do PeopleSoft, incluindo a CVE-2013-3821, documentada pela Lexfo em 2017, o que indica reuso de superfícies de ataque conhecidas.
Vítimas e dados roubados
O Mandiant e o Google Threat Intelligence Group atribuíram a campanha ao grupo UNC6240, identificado como o coletivo ShinyHunters, conhecido por roubo de dados e extorsão. A operação atingiu predominantemente o setor de ensino superior: cerca de 68% das mais de 100 organizações notificadas eram universidades e faculdades.
Entre as vítimas confirmadas está a Universidade de Nottingham, no Reino Unido, que reconheceu ter sofrido um incidente de segurança e notificou estudantes e ex-alunos. O ShinyHunters afirmou ter vazado dezenas de gigabytes de dados, incluindo informações pessoais e registros acadêmicos de quase 500 mil estudantes atuais e antigos. Os dados roubados foram publicados no site de vazamentos do grupo em 9 de junho de 2026, um dia antes do alerta oficial da Oracle, conforme reportou a BleepingComputer.
Cronologia da exploração
- 27 de maio de 2026 — Início da exploração ativa da falha como zero-day, duas semanas antes do aviso da Oracle.
- 9 de junho de 2026 — ShinyHunters publica os dados roubados no seu site de vazamentos.
- 10 de junho de 2026 — Oracle emite alerta fora de banda e libera patch de emergência para CVE-2026-35273.
- 11 de junho de 2026 — Mandiant atribui a campanha a UNC6240 (ShinyHunters); Charles Carmakal alerta o público.
- 12 de junho de 2026 — CISA adiciona CVE-2026-35273 ao catálogo KEV, exigindo correção rápida por órgãos federais.
Ferramentas e táticas usadas
Um pesquisador de ameaças descobriu diretórios expostos contendo ferramentas usadas nos ataques. No endpoint /pay_or_leak havia dados roubados de mais de 20 organizações. Um log de histórico de comandos revelou um script sob medida, chamado uon_fanout.sh, que espalha marcadores de desfiguração pela infraestrutura PeopleSoft.
Os invasores demonstraram conhecimento profundo do produto: extraíam credenciais do arquivo de configuração psappsrv.cfg, mapeavam todos os nós conectados e identificavam camadas de aplicação web, de processo e de lote. Após a intrusão, o grupo instalava agentes do MeshCentral, uma plataforma de gerenciamento remoto de código aberto, disfarçados como serviços do Microsoft Azure — como o binário meshagent64-azure-ops.exe — com comunicação de comando e controle direcionada a wss://azurenetfiles[.]net:443/agent.ashx, segundo a análise da Rapid7. Os dados eram comprimidos com o utilitário zstd antes da exfiltração.
Como se proteger agora
Organizações que executam PeopleTools 8.61 ou 8.62 devem aplicar o patch da Oracle imediatamente, sem aguardar o ciclo regular de atualizações. A recomendação consta do aviso oficial e foi reiterada por Mandiant, Rapid7 e Arctic Wolf. Como controles compensatórios, os administradores podem adotar as seguintes medidas:
- Desativar o serviço Environment Management Hub (EMHub) em configurações multi-server, ou remover completamente a aplicação PSEMHUB em servidores únicos.
- Bloquear o acesso externo aos caminhos
/PSEMHUB/*e/PSIGW/HttpListeningConnectorno perímetro da rede ou no firewall. - Investigar a presença dos binários de agente MeshCentral e conexões de saída ao domínio malicioso indicado nos indicadores de comprometimento.
- Verificar histórico de acesso aos endpoints PSEMHUB e arquivos de credenciais como
psappsrv.cfg.
O Mandiant salienta que restringir esses endpoints não afeta o funcionamento padrão do PeopleSoft Internet Architecture para usuários finais que acessam o sistema pelo navegador. A janela de exploração pré-patch, de aproximadamente duas semanas, torna a auditoria de logs tão urgente quanto a própria correção.
Fontes
- Help Net Security — Oracle PeopleSoft servers under attack (11 jun. 2026)
- Rapid7 — Active Exploitation of Oracle PeopleSoft Zero-Day
- Arctic Wolf — Critical PeopleSoft Vulnerability in ShinyHunters Campaign
- SOCRadar — CVE-2026-35273 in PeopleSoft PeopleTools EMHub
- Horizon3.ai — CVE-2026-35273: Oracle PeopleSoft Unauth RCE