Uma vulnerabilidade zero-day no Oracle PeopleSoft Enterprise PeopleTools, identificada como CVE-2026-35273 com CVSS 9.8, está sendo explorada ativamente pelo grupo de extorsão ShinyHunters para invadir instâncias e roubar dados corporativos. A falha permite execução remota de código sem autenticação e afeta as versões 8.61 e 8.62 do PeopleTools, com pelo menos 300 instâncias comprometidas em mais de 100 organizações desde o início dos ataques. O caso se soma a alertas anteriores sobre o mesmo zero-day que já havia sido sinalizado como ativo.
Flaw crítica no PeopleTools
A vulnerabilidade CVE-2026-35273 consiste na ausência de autenticação em funções críticas do PeopleTools, permitindo que um atacante remoto envie requisições HTTP ou HTTPS maliciosas e execute código arbitrário no servidor sem necessidade de credenciais. A Oracle classificou a falha como crítica com CVSS 9.8 e lançou mitigações de emergência enquanto prepara um patch definitivo para as versões 8.61 e 8.62 afetadas. A CISA adicionou a vulnerabilidade ao seu catálogo KEV (Known Exploited Vulnerabilities), determinando que agências federais americanas apliquem as correções no prazo estabelecido pelo BOD 26-04.
Como o ataque funciona
O grupo ShinyHunters utiliza uma cadeia de exploração (“gadget chain”) que combina vulnerabilidades antigas e o zero-day para comprometer servidores PeopleSoft expostos na internet. Após a invasão inicial, os atacantes conduzem reconhecimento nas instâncias comprometidas, mapeiam configurações do PeopleSoft e WebLogic, e utilizam scripts para movimentação lateral via credenciais roubadas ou embutidas no código. A comunicação com a infraestrutura de comando e controle é feita por agentes remotos MeshCentral personalizados, disfarçados como serviços legítimos do Microsoft Azure.
Os dados roubados são comprimidos e exfiltrados para o servidor 176.120.22.24, associado ao site de vazamentos público do ShinyHunters. Em seguida, o grupo deixa notas de resgate exigindo pagamento para evitar a divulgação pública das informações. Pesquisadores identificaram os seguintes endereços IP usados nos ataques: 142.11.200[.]186 a 190, 108.174.202[.]99 e 176.120.22[.]24.
Setor educacional no alvo
A Mandiant confirmou que a campanha tem como alvo principal o setor de educação superior. Das mais de 100 organizações notificadas sobre endpoints potencialmente vulneráveis, 68% operam no segmento de ensino superior, a maioria localizada em instituições americanas. A concentração no setor educacional sugere que os atacantes identificaram universidades como alvos de alto valor, com grandes volumes de dados pessoais e financeiros e orçamentos limitados de segurança.
O ShinyHunters já havia atacado o setor educacional anteriormente ao comprometer a plataforma Canvas da Instructure, resultando no roubo de 280 milhões de registros de estudantes, professores e funcionários. A Instructure pagou resgate para evitar o vazamento dos dados. Outros zero-days com exploit ativo também receberam atenção recente da CISA.
Proteja sua infraestrutura
A Mandiant recomenda que organizações com PeopleSoft implementem ações imediatas para conter a ameaça. A prioridade é restringir o acesso externo aos endpoints PeopleSoft e aplicar as mitigações de emergência disponibilizadas pela Oracle. A revisão de logs deve focar em requisições suspeitas direcionadas aos caminhos /PSEMHUB/ e /PSIGW/HttpListeningConnector. Equipes de segurança devem inspecionar servidores quanto a webshells .jsp inesperados em diretórios do WebLogic, arquivos não autorizados em pastas PSEMHUB e diretórios suspeitos como persistantstorage ou scratchpad.
| Versão afetada | CVSS | Tipo de falha | Status |
|---|---|---|---|
| PeopleTools 8.61 | 9.8 | Ausência de autenticação | Mitigação disponível |
| PeopleTools 8.62 | 9.8 | RCE sem autenticação | Mitigação disponível |