ShinyHunters zneužili zero-day chybu v Oracle PeopleSoft a pronikli do více než 100 organizací

Společnost Oracle uvedla, že na zranitelnost upozornili výzkumníci z iniciativy TrendAI Zero Day a týmu TrendAI Research . Kritická kombinace síťového vektoru útoku, nízké složitosti, absence autentizace a nulové interakce uživatele učinila z této chyby hlavní cíl pro masové zneužití, jakmile se o ní útočníci dozvěděli.

Jak útok probíhal: Časová osa před vydáním opravy

Kampaň byla připsána skupině, kterou Mandiant (součást Google) sleduje pod označením UNC6240 a která je veřejně známá jako ShinyHunters. Mandiant datuje aktivní zneužívání zranitelnosti od 27. května do 9. června 2026 .

Vzhledem k tomu, že společnost Oracle zveřejnila své bezpečnostní upozornění a vydala opravu až 10. června 2026, zůstávala zranitelnost po celou dobu aktivního zneužívání jako tzv. zero-day . Během této doby útočníci prohledávali internet a hledali vystavené instance PeopleSoftu, přičemž zranitelnost CVE-2026-35273 používali k získání prvotního přístupu na nezabezpečené servery.

Jakmile se dostali dovnitř, pohybovali se napříč kompromitovanými prostředími. Bezpečnostní výzkumníci ze společnosti Field Effect poznamenali, že útočníci kombinovali CVE-2026-35273 s technikami založenými na přihlašovacích údajích a pravděpodobně i dalšími zranitelnostmi, aby maximalizovali rozsah kompromitace a našli cenná úložiště dat . Tento vícestupňový přístup umožnil skupině ShinyHunters exfiltrovat mnohem více dat, než by umožnil jednoduchý exploit typu "přijít a ukrást".

Po exfiltraci dat se skupina řídila svým zavedeným scénářem: od obětí požadovala výkupné a vyhrožovala zveřejněním ukradených informací, pokud nebudou jejich požadavky splněny . Tato taktika zaměřená na vydírání namísto nasazení ransomwaru je charakteristickým znakem operací ShinyHunters.

Jaká data byla ukradena

Ukradená data se lišila podle konkrétní organizace, ale napříč napadenými instancemi se opakovalo několik vysoce hodnotných kategorií:

• Osobní údaje (PII) studentů, zaměstnanců a pedagogů .
• Akademické záznamy, údaje o zápisech a informace o finanční podpoře, což odráží vysokou koncentraci obětí ve vzdělávacím sektoru .
• HR a mzdová data z podnikových implementací PeopleSoftu, včetně benefitů a platových informací .
• Konfigurační soubory interních systémů a přihlašovací údaje, které útočníci používali k dalšímu pohybu v kompromitovaných prostředích .

Šíře ukradených dat odráží roli PeopleSoftu jako centralizovaného ERP systému, který shromažďuje citlivé záznamy z oblastí HR, financí a provozu institucí . Jediná kompromitace tak může odhalit roky osobních a institucionálních dat.

Mimořádná reakce společnosti Oracle

Dne 10. června 2026 společnost Oracle vybočila ze svého pravidelného čtvrtletního cyklu záplat a zveřejnila mimořádné bezpečnostní upozornění pro CVE-2026-35273 . Ve stejný den vydala opravy pro PeopleTools 8.61 a 8.62, což byl neobvykle urgentní krok, který podtrhl aktivní a rozsáhlé zneužívání zranitelnosti .

Upozornění společnosti Oracle bylo nekompromisní: "Tato zranitelnost je vzdáleně zneužitelná bez autentizace. V případě úspěšného zneužití může vést ke vzdálenému spuštění kódu" . Společnost vyzvala všechny zákazníky, aby aplikaci opravy považovali za "vysoce prioritní opatření ke snížení rizika" .

CISA bije na poplach

Dva dny po upozornění společnosti Oracle, dne 12. června 2026, přidala americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) zranitelnost CVE-2026-35273 do svého Katalogu známých zneužívaných zranitelností (KEV) . Toto zařazení spustilo povinné lhůty pro záplatování pro americké federální úřady a sloužilo jako silný signál pro všechny organizace, veřejné i soukromé, že chyba je aktivně a masivně zneužívána.

Také Kanadské centrum pro kybernetickou bezpečnost vydalo 11. června varování AV26-587, které upozorňovalo na aktivní zneužívání a nabádalo administrátory, aby se okamžitě řídili pokyny společnosti Oracle . Koordinovaná reakce vládních agentur odrážela závažnost a rozsah incidentu.

Naléhavé kroky ke zmírnění rizika

Na základě pokynů od Oracle, CISA, Rapid7 a dalších bezpečnostních firem by organizace používající PeopleSoft měly bez prodlení podniknout následující kroky:

1. Okamžitě aplikujte mimořádnou opravu od Oracle pro PeopleTools 8.61 a 8.62 .
2. Zkontrolujte nepodporované verze. Pokud používáte verzi mimo rozsah opravy, naplánujte nouzový upgrade na podporovanou verzi před záplatováním.
3. Proveďte forenzní kontrolu aplikačních a databázových serverů PeopleSoft a hledejte známky webových shellů, neautorizovaných skriptů nebo nástrojů pro získávání přihlašovacích údajů .
4. Změňte všechny přihlašovací údaje uložené v prostředí PeopleSoft nebo z něj dostupné, včetně servisních účtů a připojovacích řetězců k databázím .
5. Omezte síťový přístup k HTTP/HTTPS rozhraním PeopleSoft (porty 80 a 443) z internetu, kde je to možné, nebo je umístěte za VPN .
6. Monitorujte anomální odchozí datové přenosy ze serverů PeopleSoft – velké přenosy na neznámé externí IP adresy jsou silným indikátorem exfiltrace dat .

Indikátory kompromitace (IoCs)

Zveřejněné IoC se s pokračujícím vyšetřováním stále vyvíjejí. Z prvotních zpráv však vyplynulo několik kategorií indikátorů:

• Neautorizované HTTP požadavky cílené na endpoint Updates Environment Management v rámci PeopleTools .
• Webové shelly nebo neočekávané skriptové soubory objevující se na aplikačních serverech PeopleSoft .
• Neobvyklé autentizační události z neznámých IP adres nebo od servisních účtů, které se přihlašují jen zřídka .
• Rozsáhlé odchozí datové přenosy z databázových serverů PeopleSoft na externí cíle .
• Nově vytvořené servisní účty nebo naplánované úlohy na kompromitovaných serverech .

Byly také zveřejněny konkrétní IP adresy ovládané útočníky – například společnost Pathlock hlásila spojení z adres 142.11.200.186–190, 108.174.202.99 a 176.120.22.24 – a také název výkupného souboru README-IF-..., který by organizace měly hledat ve svých logách PeopleSoftu .

ShinyHunters a vzdělávací sektor: Opakující se vzorec

Kampaň na Oracle PeopleSoft není pro skupinu ShinyHunters výjimkou. Tato skupina dlouhodobě upřednostňuje cíle ve vzdělávacím sektoru, a to z několika strategických důvodů:

• Bohaté, agregované datové sady. Univerzity a vysoké školy provozují masivní instance PeopleSoftu, které shromažďují desetiletí osobních, akademických a finančních záznamů stovek tisíc lidí .
• Pomalé cykly záplatování. Instituce vysokoškolského vzdělávání často provozují silně přizpůsobená prostředí PeopleSoft s nekonzistentními a zpožděnými frekvencemi aktualizací, což z nich činí snadný cíl pro jakoukoli zneužitou zranitelnost .
• Vydírání, ne ransomware. ShinyHunters se zaměřují na krádeže dat a vydírání spíše než na nasazení ransomwaru. Tento model přináší vysoké zisky, pokud jsou ukradená data natolik citlivá, že si vynutí platbu .
• Masové oportunistické skenování. Skupina prohledává celé sektory, spíše než by se zaměřovala na jednotlivé vysoce hodnotné cíle. Tato technika maximalizuje jejich dosah, kdykoli se objeví kritická zranitelnost, jako je CVE-2026-35273 .

Kampaň z června 2026 navazuje na dřívější útoky ShinyHunters na univerzity a platformy vzdělávacích technologií, při nichž skupina ukradla miliony záznamů a prodávala je na fórech dark webu. Kombinace zero-day RCE chyby v PeopleTools a sektoru obětí s přetrvávajícími bezpečnostními mezerami se ukázala jako zničující.

Pro organizace, které stále vyhodnocují svou expozici, je okamžitou prioritou instalace opravy. Nad rámec toho tento incident slouží jako připomínka, že rozsáhlé ERP platformy vyžadují stejnou vrstvenou obranu, monitorování a schopnost rychlé reakce jako jakákoli jiná kritická služba vystavená internetu.