ShinyHunters udnytter Oracle PeopleSoft zero-day og rammer mere end 100 organisationer
ShinyHunters udnyttede CVE 2026 35273, en kritisk sårbarhed i Oracle PeopleSoft, til at trænge ind i over 300 systeminstanser hos mere end 100 organisationer og stjæle følsomme data. Sårbarheden, med en CVSS score på 9.8, tillod uautoriseret fjernadgang uden brugerinteraktion og blev aktivt udnyttet i næsten to uger...
What was the ShinyHunters zero-day campaign against Oracle PeopleSoft that breached over 100 organizations, what was the vulnerability (CVE-The ShinyHunters zero-day campaign exploited CVE-2026-35273 to breach over 300 Oracle PeopleSoft instances worldwide.
AI Prompt
Create a landscape editorial hero image for this Studio Global article: What was the ShinyHunters zero-day campaign against Oracle PeopleSoft that breached over 100 organizations, what was the vulnerability (CVE-. Article summary: Here is a comprehensive breakdown of the ShinyHunters campaign against Oracle PeopleSoft, based on current reporting.. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Android Headlines / Tech News / Hackers Exploited a Critical Oracle Zero-Day to Breach Over 100 Companies. # Hackers Exploited a Critical Oracle Zero-Day to Breach Over 100 Compani" source context "Oracle Zero-Day Exploited to Breach 100+ Companies" Reference image 2: visual subject "# Oracle PeopleSoft Zero Day Exploited by ShinyHunters. Oracle shipped emergency mitigations on June 11 for CVE-2026-35273 after Shi
openai.com
I starten af juni 2026 udførte den berygtede cyberkriminelle gruppe ShinyHunters et af årets mest omfattende og effektive zero-day angreb. Ved at udnytte en kritisk sårbarhed i Oracle PeopleSoft, verdens førende ERP-system (Enterprise Resource Planning), lykkedes det dem at bryde ind hos mere end 100 organisationer på tværs af kloden. Angrebet, der især ramte universiteter og større virksomheder, understreger den konstante trussel mod store IT-platforme, og viser med al tydelighed, hvor hurtigt afpresningsfokuserede hackergrupper kan omsætte ukendte sårbarheder til effektive våben.
Sårbarheden i centrum for angrebet har fået betegnelsen CVE-2026-35273. Det er en ekstremt kritisk fejl med en CVSS-score på 9.8 ud af 10, der gør det muligt for en uautoriseret angriber at eksekvere kode på systemet uden nogen form for brugerinteraktion. Denne artikel dykker ned i de tekniske detaljer bag fejlen, gennemgår angrebets tidslinje, de stjålne data, reaktionerne fra Oracle og den amerikanske cybersikkerhedsmyndighed CISA, samt de konkrete skridt, it-ansvarlige bør tage nu.
Sårbarheden: Hvad er CVE-2026-35273?
CVE-2026-35273 findes i komponenten Updates Environment Management i Oracle PeopleSoft Enterprise PeopleTools og berører version 8.61 og 8.62. Fejlen bunder i en såkaldt "Server-Side Request Forgery" (CWE-918), som kan udløses via HTTP uden brug af login. Hvis en angriber udnytter den med succes, kan vedkommende overtage fuld kontrol over PeopleSoft-serveren og dermed kompromittere alle data og processer.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
What is the short answer to "ShinyHunters udnytter Oracle PeopleSoft zero-day og rammer mere end 100 organisationer"?
ShinyHunters udnyttede CVE 2026 35273, en kritisk sårbarhed i Oracle PeopleSoft, til at trænge ind i over 300 systeminstanser hos mere end 100 organisationer og stjæle følsomme data.
What are the key points to validate first?
ShinyHunters udnyttede CVE 2026 35273, en kritisk sårbarhed i Oracle PeopleSoft, til at trænge ind i over 300 systeminstanser hos mere end 100 organisationer og stjæle følsomme data. Sårbarheden, med en CVSS score på 9.8, tillod uautoriseret fjernadgang uden brugerinteraktion og blev aktivt udnyttet i næsten to uger, før Oracle frigav en nødopdatering.
What should I do next in practice?
Universiteter og uddannelsesinstitutioner blev hårdest ramt, og angriberne stjal personfølsomme oplysninger, akademiske data og HR oplysninger for at afpresse ofrene.
Oracle har krediteret forskere fra TrendAI Zero Day Initiative og TrendAI Research for at opdage og indrapportere sårbarheden. Den kritiske kombination af et netværksbaseret angreb, lav kompleksitet, manglende autentificering og ingen brugerinteraktion gjorde sårbarheden til et oplagt mål for masseangreb i det øjeblik, den blev kendt blandt hackere.
Sådan udfoldede angrebet sig: En tidslinje før patchen
Google-ejede Mandiant sporer ShinyHunters-gruppen som UNC6240 og har dateret deres aktive udnyttelse af sårbarheden fra den 27. maj 2026 til den 9. juni 2026.
Fordi Oracle først offentliggjorde sin sikkerhedsadvarsel og en patch den 10. juni 2026, var sårbarheden en zero-day gennem hele angrebsperioden. I dette tidsrum scannede hackerne internettet for eksponerede PeopleSoft-instanser og brugte CVE-2026-35273 til at få adgang til ubeskyttede servere.
Når adgangen var opnået, bevægede gruppen sig videre i de kompromitterede netværk. Sikkerhedsforskere hos Field Effect konstaterede, at angriberne kombinerede CVE-2026-35273 med legitimationsbaserede teknikker og sandsynligvis andre sårbarheder for at maksimere omfanget af kompromitteringen og finde de mest værdifulde data. Denne flertrins-tilgang gjorde det muligt for ShinyHunters at eksfiltrere langt mere data, end et hurtigt "smash-and-grab" kunne have resulteret i.
Efter datatyveriet fulgte gruppen sin velkendte strategi: De krævede penge af ofrene og truede med at offentliggøre de stjålne oplysninger, hvis kravet ikke blev mødt. Denne afpresningsmodel, fremfor at bruge ransomware, er et karakteristisk træk ved ShinyHunters' operationer.
Hvilke data blev stjålet?
De stjålne data varierede fra offer til offer, men der er flere kategorier, der gik igen på tværs af de kompromitterede systemer:
Personfølsomme oplysninger (PII) om studerende, fakultetsansatte og personale.
Akademiske optegnelser, indskrivningsdata og oplysninger om økonomisk støtte, hvilket afspejler, at uddannelsessektoren blev hårdest ramt.
HR- og løndata fra virksomheders PeopleSoft-installationer, inklusive oplysninger om personalegoder og løn.
Interne systemkonfigurationsfiler og legitimationsoplysninger, som angriberne brugte til at bevæge sig rundt i netværkene.
Mængden af stjålne data afspejler PeopleSofts rolle som et centralt ERP-system, der samler følsomme oplysninger på tværs af HR, økonomi og campusdrift. Ét enkelt kompromitteret system kan afsløre årtiers personlige og institutionelle data.
Oracle reagerer uden for den faste cyklus
Den 10. juni 2026 brød Oracle med deres faste kvartalsvise patch-cyklus og udgav en sikkerhedsadvarsel uden for planen for CVE-2026-35273. Virksomheden frigav patches til PeopleTools 8.61 og 8.62 samme dag – en usædvanligt haster, der understregede den aktive og udbredte udnyttelse.
Oracles advarsel var direkte: "Denne sårbarhed kan udnyttes eksternt uden autentificering. Hvis den udnyttes med succes, kan sårbarheden resultere i fjernudførelse af kode." De anbefalede alle kunder at installere patchen som en "højt prioriteret risikoreducerende handling" .
CISA slår alarm
To dage efter Oracles advarsel, den 12. juni 2026, føjede det amerikanske cybersikkerhedsagentur CISA (Cybersecurity and Infrastructure Security Agency) CVE-2026-35273 til sin Known Exploited Vulnerabilities (KEV)-katalog. Denne tilføjelse udløste en bindende deadline for patching hos føderale amerikanske myndigheder og var et stærkt signal til alle organisationer, offentlige som private, om at fejlen var under aktivt angreb.
Det canadiske Center for Cybersikkerhed (Canadian Centre for Cyber Security) udsendte også et varsel (AV26-587) den 11. juni, som advarede mod den aktive udnyttelse og opfordrede it-administratorer til straks at følge Oracles vejledning. Den koordinerede statslige reaktion afspejlede hændelsens alvor og omfang.
Akutte sikkerhedsforanstaltninger
Baseret på vejledning fra Oracle, CISA, Rapid7 og andre sikkerhedseksperter bør organisationer, der kører PeopleSoft, straks tage disse skridt:
Installer Oracles nødpatch på PeopleTools 8.61 og 8.62 omgående.
Tjek for ikke-understøttede versioner. Hvis I kører en version, der ikke er dækket af patchen, bør I planlægge en hasteopgradering til en supporteret udgave.
Udfør en forensisk gennemgang af PeopleSoft-applikations- og databaseservere for tegn på web shells, uautoriserede scripts eller værktøjer til at stjæle legitimationsoplysninger.
Rotér alle adgangskoder og nøgler, der er gemt i eller tilgængelige fra PeopleSoft-miljøet, inklusive servicekonti og databaseforbindelsesstrenge.
Begræns netværksadgang til PeopleSofts HTTP/HTTPS-grænseflader (port 80 og 443) fra internettet, hvis muligt, eller placer dem bag en VPN-forbindelse.
Overvåg for unormal udgående dataoverførsel fra PeopleSoft-servere. Store dataoverførsler til ukendte, eksterne IP-adresser er en stærk indikator for datatyveri.
Indikatorer for kompromittering (IoC'er)
Listen over offentliggjorte IoC'er udvikler sig stadig i takt med, at efterforskningen skrider frem. Dog er der allerede identificeret flere typer af indikatorer:
Uautoriserede HTTP-forespørgsler rettet mod "Updates Environment Management"-endepunktet i PeopleTools.
Web shells eller uventede script-filer, der dukker op på PeopleSoft-applikationsservere.
Unormale godkendelseshændelser fra ukendte IP-adresser eller servicekonti, der sjældent logger ind.
Omfattende udgående dataoverførsel fra PeopleSoft-databaseservere til eksterne destinationer.
Nyoprettede servicekonti eller planlagte opgaver på kompromitterede servere.
Specifikke IP-adresser kontrolleret af angriberne er også frigivet – eksempelvis rapporterede Pathlock forbindelser fra 142.11.200.186–190, 108.174.202.99, og 176.120.22.24 – samt navnet på en løsesums-fil, README-IF-..., som organisationer bør tjekke for i deres PeopleSoft-logs .
ShinyHunters og uddannelsessektoren: Et velkendt mønster
Oracle PeopleSoft-kampagnen er på ingen måde en enlig svale for ShinyHunters. Gruppen har en veldokumenteret præference for mål inden for uddannelse, drevet af flere strategiske faktorer:
Rige, samlede datasæt. Universiteter og handelsskoler driver massive PeopleSoft-installationer, der samler årtiers personlige, akademiske og økonomiske oplysninger om hundredtusindvis af individer.
Langsomme opdateringscyklusser. Videregående uddannelsesinstitutioner kører ofte stærkt tilpassede PeopleSoft-miljøer med uregelmæssige og forsinkede opdateringer, hvilket gør dem til lette mål for enhver sårbarhed, der bliver bevidst udnyttet.
Afpresning, ikke ransomware. ShinyHunters fokuserer på datatyveri og afpresning, en model der giver et højt afkast, når de stjålne data er tilstrækkeligt følsomme til at sikre en udbetaling.
Massescanning efter muligheder. Gruppen scanner bredt på tværs af hele sektorer, snarere end at udvælge enkelte højt kvalificerede mål. Denne teknik maksimerer deres aftryk, når en kritisk sårbarhed som CVE-2026-35273 dukker op.
Kampagnen i juni 2026 følger i kølvandet på tidligere ShinyHunters-angreb på universiteter og edtech-platforme, hvor gruppen stjal millioner af registre og solgte dem på fora på det mørke internet. Kombinationen af en zero-day RCE-fejl i PeopleTools og en offersektor med vedvarende sikkerhedshuller viste sig at være ødelæggende effektiv.
For organisationer, der stadig vurderer deres eksponering, er den absolut højeste prioritet at patche. Ud over det er denne hændelse en skarp påmindelse om, at store ERP-platforme kræver det samme lagdelte forsvar, den samme overvågning og den samme evne til hurtig reaktion som enhver anden internetvendt, kritisk service.
Comments
0 comments