ShinyHunters nutzt Oracle-PeopleSoft-Zero-Day aus: Über 100 Organisationen kompromittiert
Die ShinyHunters Gruppe nutzte CVE 2026 35273 aus, eine Schwachstelle für nicht authentifizierte Remote Code Ausführung mit CVSS 9,8 in Oracle PeopleSoft PeopleTools 8.61 und 8.62. Die Angreifer erbeuteten PII, akademische Aufzeichnungen, HR Daten und Zugangsdaten.
What was the ShinyHunters zero-day campaign against Oracle PeopleSoft that breached over 100 organizations, what was the vulnerability (CVE-The ShinyHunters zero-day campaign exploited CVE-2026-35273 to breach over 300 Oracle PeopleSoft instances worldwide.
KI-Prompt
Create a landscape editorial hero image for this Studio Global article: What was the ShinyHunters zero-day campaign against Oracle PeopleSoft that breached over 100 organizations, what was the vulnerability (CVE-. Article summary: Here is a comprehensive breakdown of the ShinyHunters campaign against Oracle PeopleSoft, based on current reporting.. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Android Headlines / Tech News / Hackers Exploited a Critical Oracle Zero-Day to Breach Over 100 Companies. # Hackers Exploited a Critical Oracle Zero-Day to Breach Over 100 Compani" source context "Oracle Zero-Day Exploited to Breach 100+ Companies" Reference image 2: visual subject "# Oracle PeopleSoft Zero Day Exploited by ShinyHunters. Oracle shipped emergency mitigations on June 11 for CVE-2026-35273 after Shi
openai.com
Anfang Juni 2026 führte die Cybergang ShinyHunters eine der wirkungsvollsten Zero-Day-Kampagnen des Jahres durch. Sie nutzte eine kritische Schwachstelle in Oracle PeopleSoft aus und kompromittierte weltweit mehr als 100 Organisationen. Der Angriff, der Universitäten und Unternehmen traf, bevor ein offizieller Fix verfügbar war, unterstreicht das anhaltende Risiko für große ERP-Installationen und die Geschwindigkeit, mit der erpresserisch motivierte Akteure unbekannte Schwachstellen zu ihren Gunsten einsetzen.
Die Sicherheitslücke im Zentrum der Kampagne, CVE-2026-35273, hat einen CVSS-v3.1-Basiswert von 9,8 und ermöglicht nicht authentifizierte Remote-Code-Ausführung (RCE) ohne Benutzerinteraktion . Dieser Artikel beleuchtet die technischen Details der Lücke, den zeitlichen Ablauf, die gestohlenen Daten, die Reaktionen von Oracle und dem BSI-Pendant CISA und die praktischen Schritte, die Verteidiger jetzt umsetzen müssen.
Die Schwachstelle: Was ist CVE-2026-35273?
CVE-2026-35273 befindet sich in der Komponente Updates Environment Management von Oracle PeopleSoft Enterprise PeopleTools und betrifft die Versionen 8.61 und 8.62 . Es handelt sich um eine Server-Side Request Forgery (CWE-918), die ohne Authentifizierung über HTTP ausgelöst werden kann . Eine erfolgreiche Ausnutzung kann zur vollständigen Übernahme des PeopleSoft-Servers führen und Angreifern die Kontrolle über Vertraulichkeit, Integrität und Verfügbarkeit des Systems geben .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Wie lautet die kurze Antwort auf „ShinyHunters nutzt Oracle-PeopleSoft-Zero-Day aus: Über 100 Organisationen kompromittiert“?
Die ShinyHunters Gruppe nutzte CVE 2026 35273 aus, eine Schwachstelle für nicht authentifizierte Remote Code Ausführung mit CVSS 9,8 in Oracle PeopleSoft PeopleTools 8.61 und 8.62.
Was sind die wichtigsten Punkte, die zuerst validiert werden müssen?
Die ShinyHunters Gruppe nutzte CVE 2026 35273 aus, eine Schwachstelle für nicht authentifizierte Remote Code Ausführung mit CVSS 9,8 in Oracle PeopleSoft PeopleTools 8.61 und 8.62. Die Angreifer erbeuteten PII, akademische Aufzeichnungen, HR Daten und Zugangsdaten.
Was soll ich als nächstes in der Praxis tun?
CISA nahm die Schwachstelle am 12. Juni in den Katalog der bekannten ausgenutzten Schwachstellen auf und verpflichtete Bundesbehörden zu sofortigen Patches.
Oracle würdigte Forscher der TrendAI Zero Day Initiative und von TrendAI Research für die Meldung der Schwachstelle . Die kritische Kombination aus netzwerkbasiertem Angriffsvektor, geringer Komplexität, fehlender Authentifizierung und keiner Benutzerinteraktion machte die Lücke zu einem Hauptziel für Massenangriffe, sobald sie Angreifern bekannt wurde.
Wie der Angriff ablief – die Zeitachse vor dem Patch
Die Kampagne wurde von Googles Mandiant einer Gruppe zugeordnet, die unter dem Namen UNC6240 geführt und öffentlich als ShinyHunters bekannt ist. Mandiant datierte das Zeitfenster der aktiven Ausnutzung auf den 27. Mai 2026 bis 9. Juni 2026.
Da Oracle seinen Sicherheitshinweis erst am 10. Juni 2026 veröffentlichte und einen Patch bereitstellte, blieb die Schwachstelle während des gesamten Zeitraums aktiver Angriffe ein Zero-Day-Exploit . In dieser Zeit scannten die Angreifer das Internet nach exponierten PeopleSoft-Instanzen und nutzten CVE-2026-35273, um auf ungepatchten Servern Fuß zu fassen.
Innerhalb der kompromittierten Umgebungen bewegten sich die Angreifer anschließend lateral weiter. Sicherheitsforscher von Field Effect stellten fest, dass die Angreifer CVE-2026-35273 mit Credential-basierten Techniken und möglicherweise weiteren Schwachstellen kombinierten, um das Ausmaß der Kompromittierung zu maximieren und wertvolle Datenbestände zu lokalisieren . Dieses mehrstufige Vorgehen erlaubte es ShinyHunters, weit mehr Daten zu entwenden, als ein simpler Hit-and-Run-Angriff ergeben hätte.
Nach der Datenextraktion folgte die Gruppe ihrem üblichen Spielbuch: Sie forderten Zahlungen von den Opfern und drohten mit der Veröffentlichung der gestohlenen Informationen, sollten die Forderungen nicht erfüllt werden . Diese auf reine Erpressung fokussierte Taktik, anstatt Ransomware einzusetzen, ist ein Markenzeichen der Operationen von ShinyHunters.
Welche Daten gestohlen wurden
Die gestohlenen Daten variierten je nach Opferorganisation, aber mehrere wertvolle Kategorien tauchten in den kompromittierten Instanzen immer wieder auf:
Persönlich identifizierbare Informationen (PII) von Studierenden, Dozenten und Mitarbeitern .
Akademische Aufzeichnungen, Immatrikulationsdaten und Informationen zu BAföG und Stipendien, was die hohe Betroffenheit des Bildungssektors widerspiegelt .
HR- und Gehaltsabrechnungsdaten aus unternehmerischen PeopleSoft-Installationen, einschließlich Sozialleistungen und Vergütungsinformationen .
Interne Systemkonfigurationsdateien und Zugangsdaten, welche die Angreifer zur lateralen Bewegung nutzten .
Die Bandbreite der gestohlenen Daten spiegelt die Rolle von PeopleSoft als zentrales ERP-System wider, das sensible Aufzeichnungen aus HR, Finanzen und Campusbetrieb zusammenführt . Eine einzige Kompromittierung kann Jahre personenbezogener und institutioneller Daten offenlegen.
Oracles außerplanmäßige Reaktion
Am 10. Juni 2026 brach Oracle mit seinem regulären vierteljährlichen Patch-Zyklus und veröffentlichte einen außerplanmäßigen Sicherheitsalarm für CVE-2026-35273 . Das Unternehmen stellte noch am selben Tag Patches für PeopleTools 8.61 und 8.62 zur Verfügung – ein ungewöhnlich dringlicher Schritt, der die aktive und weit verbreitete Ausnutzung unterstrich .
Oracles Hinweis war unmissverständlich: "Diese Schwachstelle ist ohne Authentifizierung aus der Ferne ausnutzbar. Bei erfolgreicher Ausnutzung kann sie zur Remote-Code-Ausführung führen" . Das Unternehmen forderte alle Kunden auf, den Patch als "risikomindernde Maßnahme mit hoher Priorität" anzuwenden .
CISA schlägt Alarm
Zwei Tage nach Oracles Warnung, am 12. Juni 2026, nahm die US-Cybersicherheitsbehörde CISA CVE-2026-35273 in ihren Katalog der bekannten ausgenutzten Schwachstellen (Known Exploited Vulnerabilities, KEV) auf . Diese Aufnahme löste verbindliche Patch-Fristen für US-Bundesbehörden aus und war ein starkes Signal an alle öffentlichen und privaten Organisationen, dass die Lücke aktiv und weit verbreitet angegriffen wird.
Auch das Canadian Centre for Cyber Security gab am 11. Juni den Hinweis AV26-587 heraus, warnte vor aktiver Ausnutzung und wies Administratoren unverzüglich auf Oracles Anweisungen hin . Die koordinierte Reaktion der Behörden spiegelte den Schweregrad und das Ausmaß des Vorfalls wider.
Dringende Sicherheitsmaßnahmen
Basierend auf den Empfehlungen von Oracle, CISA, Rapid7 und anderen Sicherheitsanbietern sollten Organisationen, die PeopleSoft betreiben, unverzüglich diese Maßnahmen ergreifen:
Oracles außerplanmäßigen Patch sofort für PeopleTools 8.61 und 8.62 einspielen .
Support prüfen. Falls eine nicht abgedeckte Version läuft, planen Sie vor dem Patchen eine Notfall-Aktualisierung auf eine unterstützte Version ein.
Forensische Überprüfung der PeopleSoft-Anwendungs- und Datenbankserver auf Anzeichen von Web-Shells, unautorisierten Skripten oder Tools zum Auslesen von Anmeldedaten durchführen .
Alle Zugangsdaten rotieren, die in PeopleSoft-Umgebungen gespeichert sind oder von dort aus zugänglich sind, einschließlich Servicekonten und Datenbank-Verbindungszeichenfolgen .
Netzwerkzugriff einschränken. PeopleSoft HTTP/HTTPS-Schnittstellen (Ports 80 und 443) nach Möglichkeit vom Internet trennen oder hinter einem VPN platzieren .
Überwachung auf anomale ausgehende Datenübertragungen von PeopleSoft-Servern – große Übertragungen an unbekannte externe IP-Adressen sind ein starkes Indiz für Datendiebstahl .
Kompromittierungsindikatoren (IoCs)
Die veröffentlichten IoCs entwickeln sich im Zuge der laufenden Untersuchungen noch weiter. Aus ersten Berichten haben sich jedoch folgende Indikator-Kategorien herauskristallisiert:
Unautorisierte HTTP-Anfragen an den Endpunkt der Komponente "Updates Environment Management" in PeopleTools .
Web-Shells oder unerwartete Skriptdateien auf PeopleSoft-Anwendungsservern .
Ungewöhnliche Authentifizierungsereignisse von unbekannten IP-Adressen oder selten genutzten Servicekonten .
Große ausgehende Datenübertragungen von PeopleSoft-Datenbankservern zu externen Zielen .
Neu erstellte Servicekonten oder geplante Aufgaben auf kompromittierten Servern .
Es wurden auch spezifische, von Angreifern kontrollierte IP-Adressen veröffentlicht – Pathlock meldete zum Beispiel Verbindungen von 142.11.200.186–190, 108.174.202.99 und 176.120.22.24 – sowie eine Lösegeldforderungsdatei namens README-IF-…, nach der Unternehmen in ihren PeopleSoft-Protokollen suchen sollten .
ShinyHunters und der Bildungssektor: Ein bekanntes Muster
Die Oracle-PeopleSoft-Kampagne ist für ShinyHunters kein Einzelfall. Die Gruppe hat eine gut dokumentierte Vorliebe für Ziele im Bildungswesen, was auf mehrere strategische Faktoren zurückzuführen ist:
Reichhaltige, aggregierte Datensätze. Universitäten und Hochschulen betreiben riesige PeopleSoft-Installationen, die jahrzehntelange personenbezogene, akademische und finanzielle Daten von Hunderttausenden Einzelpersonen bündeln .
Langsame Patch-Zyklen. Hochschuleinrichtungen betreiben oft stark angepasste PeopleSoft-Umgebungen mit inkonsistenten und verzögerten Aktualisierungszyklen, was sie zu leichten Zielen für jede Schwachstelle macht, die zu einer Waffe wird .
Erpressung statt Ransomware. ShinyHunters konzentriert sich auf Datendiebstahl und Erpressung und nicht auf den Einsatz von Ransomware – ein Modell, das hohe Erträge abwirft, wenn die gestohlenen Daten sensibel genug für eine Zahlung sind .
Massenhaftes opportunistisches Scannen. Die Gruppe scannt großflächig ganze Sektoren, anstatt sich einzelne hochwertige Ziele herauszupicken. Diese Technik maximiert ihre Reichweite, wenn eine kritische Lücke wie CVE-2026-35273 auftaucht .
Der Kampagne vom Juni 2026 gingen bereits frühere ShinyHunters-Angriffe auf Universitäten und Bildungsplattformen voraus, bei denen die Gruppe Millionen von Datensätzen stahl und auf Dark-Web-Foren verkaufte. Die Kombination eines Zero-Day-RCE-Fehlers in PeopleTools und einem Opfersektor mit anhaltenden Sicherheitslücken erwies sich als verheerend effektiv.
Für Unternehmen, die noch ihr Risiko bewerten, bleibt das Patchen die oberste Priorität. Darüber hinaus ist der Vorfall eine Mahnung, dass große ERP-Plattformen denselben mehrschichtigen Schutz, dasselbe Monitoring und dieselbe schnelle Reaktionsfähigkeit benötigen wie jeder andere aus dem Internet erreichbare kritische Dienst.
Oracle PeopleSoft Breached by The ShinyHunters Data Theft Attack
Comments
0 comments