ShinyHunters sfrutta una falla zero-day in Oracle PeopleSoft e viola più di 100 organizzazioni

Oracle ha attribuito il merito della scoperta ai ricercatori della TrendAI Zero Day Initiative e di TrendAI Research . La combinazione letale di vettore d'attacco via rete, bassa complessità, nessuna autenticazione e nessuna interazione con l'utente ha reso questa vulnerabilità un bersaglio ideale per uno sfruttamento di massa non appena è diventata nota agli aggressori.

Come si è svolto l'attacco: la cronologia di uno zero-day

La campagna è stata attribuita da Mandiant (Google) al gruppo che traccia come UNC6240, noto pubblicamente come ShinyHunters. Mandiant ha datato la finestra di sfruttamento attivo dal 27 maggio 2026 al 9 giugno 2026 .

Poiché Oracle ha pubblicato l'avviso di sicurezza e la patch solo il 10 giugno 2026, la vulnerabilità è rimasta uno zero-day per l'intero periodo dello sfruttamento . In quella finestra temporale, gli aggressori hanno scansionato internet alla ricerca di istanze PeopleSoft esposte e hanno usato CVE-2026-35273 per ottenere un punto d'appoggio iniziale sui server non ancora aggiornati.

Una volta entrati, il gruppo si è mosso lateralmente all'interno degli ambienti compromessi. I ricercatori di sicurezza di Field Effect hanno notato che gli aggressori hanno combinato CVE-2026-35273 con tecniche basate sull'uso di credenziali e possibilmente altre vulnerabilità per massimizzare la portata della compromissione e localizzare i dati più preziosi . Questo approccio su più fasi ha permesso a ShinyHunters di estrarre molti più dati di quanto avrebbe consentito un semplice attacco "mordi e fuggi".

Dopo aver esfiltrato i dati, il gruppo ha seguito il suo copione: ha chiesto un riscatto alle vittime, minacciando di pubblicare le informazioni rubate se la richiesta non fosse stata soddisfatta . Questa tattica incentrata sull'estorsione, piuttosto che sull'uso di ransomware, è un marchio di fabbrica delle operazioni di ShinyHunters.

Quali dati sono stati rubati

I dati rubati variano a seconda dell'organizzazione vittima, ma diverse categorie di informazioni di alto valore si ripetono nelle varie violazioni:

• Informazioni di identificazione personale (PII) di studenti, docenti e personale amministrativo .
• Registri accademici, dati di iscrizione e informazioni sugli aiuti finanziari, a testimonianza della forte concentrazione di vittime nel settore dell'istruzione .
• Dati HR e stipendi da implementazioni aziendali di PeopleSoft, inclusi benefit e informazioni salariali .
• File di configurazione di sistema interni e credenziali, usate dagli aggressori per muoversi lateralmente .

L'ampiezza dei dati rubati riflette il ruolo di PeopleSoft come sistema ERP centralizzato che aggrega dati sensibili di risorse umane, finanza e gestione universitaria . Una singola compromissione può esporre anni di informazioni personali e istituzionali.

La risposta d'emergenza di Oracle

Il 10 giugno 2026, Oracle ha rotto la sua cadenza trimestrale di aggiornamenti e ha pubblicato un avviso di sicurezza fuori ciclo per CVE-2026-35273 . Lo stesso giorno, l'azienda ha rilasciato le patch per PeopleTools 8.61 e 8.62, una mossa insolitamente urgente che ha sottolineato la gravità e la diffusione dello sfruttamento attivo .

L'avviso di Oracle era diretto: "Questa vulnerabilità è sfruttabile da remoto senza autenticazione. Se sfruttata con successo, può portare all'esecuzione di codice remoto" . L'azienda ha esortato tutti i clienti ad applicare la patch come "misura di riduzione del rischio ad alta priorità" .

La CISA lancia l'allarme

Due giorni dopo l'avviso di Oracle, il 12 giugno 2026, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto CVE-2026-35273 al suo catalogo Known Exploited Vulnerabilities (KEV) . Questa aggiunta ha fatto scattare scadenze obbligatorie per l'applicazione della patch per le agenzie federali americane e ha rappresentato un forte segnale, sia pubblico che privato, che la falla era sotto attacco attivo e su larga scala.

Anche il Centro canadese per la cybersicurezza ha emesso l'avviso AV26-587 l'11 giugno, mettendo in guardia sullo sfruttamento attivo e indirizzando gli amministratori di sistema alle linee guida di Oracle . La risposta coordinata dei governi riflette la gravità e la portata dell'incidente.

Misure urgenti di mitigazione

In base alle indicazioni di Oracle, CISA, Rapid7 e altri fornitori di sicurezza, le organizzazioni che utilizzano PeopleSoft dovrebbero intraprendere immediatamente queste azioni:

1. Applicare subito la patch fuori ciclo di Oracle per PeopleTools 8.61 e 8.62 .
2. Verificare le versioni non supportate. Se si utilizza una versione non coperta dalla patch, pianificare un aggiornamento d'emergenza a una release supportata prima di applicare la correzione.
3. Condurre una revisione forense dei server applicativi e dei database di PeopleSoft per cercare segni di web shell, script non autorizzati o strumenti per il furto di credenziali .
4. Ruotare tutte le credenziali memorizzate o accessibili dagli ambienti PeopleSoft, inclusi account di servizio e stringhe di connessione al database .
5. Limitare l'accesso di rete alle interfacce HTTP/HTTPS di PeopleSoft (porte 80 e 443) da internet, ove possibile, o porle dietro una VPN .
6. Monitorare trasferimenti anomali di dati in uscita dai server PeopleSoft: grandi trasferimenti verso indirizzi IP esterni sconosciuti sono un forte indicatore di esfiltrazione .

Indicatori di Compromissione (IoC)

Gli IoC pubblicati sono ancora in evoluzione man mano che le indagini proseguono. Tuttavia, dalle prime segnalazioni sono emerse diverse categorie di indicatori:

• Richieste HTTP non autorizzate che prendono di mira l'endpoint Updates Environment Management di PeopleTools .
• Web shell o file script inattesi sui server applicativi di PeopleSoft .
• Eventi di autenticazione insoliti da indirizzi IP sconosciuti o da account di servizio usati raramente .
• Grandi trasferimenti di dati in uscita dai server database di PeopleSoft verso destinazioni esterne .
• Nuovi account di servizio o operazioni pianificate create sui server compromessi .

Sono stati pubblicati anche specifici indirizzi IP controllati dagli aggressori: ad esempio, Pathlock ha segnalato connessioni da 142.11.200.186–190, 108.174.202.99 e 176.120.22.24 . Inoltre, le organizzazioni dovrebbero cercare nei log la presenza di un file di riscatto denominato README-IF-... .

ShinyHunters e il settore dell'istruzione: uno schema ricorrente

La campagna contro Oracle PeopleSoft non è un episodio isolato per ShinyHunters. Il gruppo ha una ben documentata preferenza per gli obiettivi nel settore educativo, guidata da diversi fattori strategici:

• Set di dati ricchi e aggregati. Università e college gestiscono imponenti implementazioni di PeopleSoft che consolidano decenni di dati personali, accademici e finanziari di centinaia di migliaia di individui .
• Cicli di aggiornamento lenti. Gli istituti di istruzione superiore spesso eseguono ambienti PeopleSoft pesantemente personalizzati e con cadenze di aggiornamento irregolari e ritardate, il che li rende bersagli facili per qualsiasi vulnerabilità venga "armata" .
• Estorsione, non ransomware. ShinyHunters si concentra sul furto di dati e sull'estorsione piuttosto che sull'implementazione di ransomware, un modello che produce alti rendimenti quando i dati rubati sono abbastanza sensibili da giustificare un pagamento .
• Scansione opportunistica di massa. Il gruppo esegue scansioni su interi settori anziché individuare singoli obiettivi di alto valore, una tecnica che massimizza la loro impronta ogni volta che emerge una vulnerabilità critica come CVE-2026-35273 .

La campagna del giugno 2026 segue precedenti attacchi di ShinyHunters a università e piattaforme di tecnologia educativa, dove il gruppo ha rubato milioni di record e li ha venduti nei forum del dark web. La combinazione di una vulnerabilità zero-day nei PeopleTools e un settore vittima con lacune di sicurezza persistenti si è rivelata devastantemente efficace.

Per le organizzazioni che stanno ancora valutando la loro esposizione, la priorità assoluta è l'applicazione della patch. Al di là di questo, l'incidente serve a ricordare che le piattaforme ERP su larga scala richiedono le stesse difese stratificate, lo stesso monitoraggio e la stessa capacità di risposta rapida di qualsiasi servizio critico esposto su internet.