ShinyHunters utnyttet null-dags sårbarhet i Oracle PeopleSoft – over 100 organisasjoner rammet

Oracle krediterer forskere fra TrendAI Zero Day Initiative og TrendAI Research for å ha rapportert sårbarheten . Den kritiske kombinasjonen av nettverksbasert angrepsvektor, lav kompleksitet, og kravet om verken autentisering eller brukerinteraksjon, gjorde sårbarheten til et perfekt mål for masseutnyttelse i det øyeblikket den ble kjent for angriperne.

Slik utspilte angrepet seg: Før en oppdatering fantes

Google-eide Mandiant tilskriver kampanjen til gruppen de sporer som UNC6240, offentlig kjent som ShinyHunters, og daterer den aktive utnyttelsesperioden fra 27. mai til 9. juni 2026 .

Fordi Oracle ikke publiserte sin sikkerhetsadvarsel før 10. juni 2026, forble sårbarheten et null-dags angrep gjennom hele den aktive perioden . I dette tidsrommet skannet angriperne internett etter eksponerte PeopleSoft-instanser og brukte CVE-2026-35273 til å få innpass på ubeskyttede servere.

Når de var inne, beveget gruppen seg sideveis i de kompromitterte miljøene. Sikkerhetsforskere hos Field Effect la merke til at angriperne kombinerte CVE-2026-35273 med legitime påloggingsdetaljer og muligens andre sårbarheter for å maksimere omfanget av kompromitteringen og finne de mest verdifulle dataene . Denne flertrinns-metoden gjorde at ShinyHunters kunne hente ut langt mer data enn et enkelt "smash-and-grab"-angrep ville gitt.

Etter å ha eksfiltrert data, fulgte gruppen sin vante fremgangsmåte: de krevde betaling fra ofrene og truet med å publisere den stjålne informasjonen dersom kravene ikke ble møtt . Denne utpressingstaktikken, snarere enn løsepengevirus, er et kjennetegn ved ShinyHunters' operasjoner.

Hvilke data ble stjålet?

De stjålne dataene varierte mellom offerorganisasjonene, men flere høyverdige kategorier gikk igjen:

• Personopplysninger (PII) for studenter, ansatte og akademisk personale .
• Akademiske protokoller, oppmeldingsdata og informasjon om økonomisk støtte, noe som gjenspeiler den store konsentrasjonen av ofre i utdanningssektoren .
• HR- og lønnsdata fra bedrifters PeopleSoft-installasjoner, inkludert pensjons- og lønnsinformasjon .
• Interne systemkonfigurasjonsfiler og påloggingsdetaljer som angriperne brukte for å bevege seg sideveis i kompromitterte miljøer .

Bredden i de stjålne dataene reflekterer PeopleSofts rolle som et sentralisert ERP-system som samler sensitive data på tvers av HR, økonomi og campusdrift . Ett enkelt innbrudd kan eksponere årevis med person- og institusjonsdata.

Oracles haste-respons

Den 10. juni 2026 brøt Oracle sin vanlige kvartalsvise oppdateringssyklus og publiserte en ekstraordinær sikkerhetsadvarsel for CVE-2026-35273 . Selskapet slapp samme dag en oppdatering for PeopleTools 8.61 og 8.62, et uvanlig hastetiltak som understreket den aktive og utbredte utnyttelsen .

Oracles advarsel var direkte: "Denne sårbarheten kan utnyttes eksternt uten autentisering. Ved vellykket utnyttelse kan sårbarheten resultere i fjernkjøring av kode." Selskapet oppfordret alle kunder til å installere oppdateringen som et "høyt prioritert risikoreduserende tiltak" .

CISA slår alarm

To dager etter Oracles advarsel, den 12. juni 2026, la det amerikanske cybersikkerhetsbyrået CISA til CVE-2026-35273 i sin Known Exploited Vulnerabilities (KEV)-katalog . Denne tilføyelsen utløser obligatoriske oppdateringsfrister for amerikanske føderale etater og fungerte som et sterkt signal til alle organisasjoner, både offentlige og private, om at feilen var under aktivt, utbredt angrep.

Det kanadiske senteret for cybersikkerhet utstedte også en advarsel (AV26-587) den 11. juni, som advarte om aktiv utnyttelse og ba administratorer om å følge Oracles veiledning umiddelbart . Den koordinerte responsen fra myndighetene reflekterte alvorlighetsgraden og omfanget av hendelsen.

Akutte mottiltak

Basert på veiledning fra Oracle, CISA, Rapid7 og andre sikkerhetsleverandører, bør organisasjoner som kjører PeopleSoft iverksette disse tiltakene umiddelbart:

1. Installer Oracles hasteoppdatering for PeopleTools 8.61 og 8.62 umiddelbart .
2. Sjekk for ustøttede versjoner. Kjører du en versjon utenfor oppdateringsomfanget, må du først planlegge en nødoppgradering til en støttet utgave.
3. Gjennomfør en rettsmedisinsk gjennomgang av PeopleSoft-applikasjons- og databaseservere på jakt etter tegn på web-shells, uautoriserte skript eller verktøy for dumping av påloggingsdetaljer .
4. Bytt alle passord og nøkler som er lagret i eller tilgjengelig fra PeopleSoft-miljøer, inkludert tjenestekontoer og database-tilkoblingsstrenger .
5. Begrens nettverkstilgang til PeopleSofts HTTP/HTTPS-grensesnitt (porter 80 og 443) fra internett der det er mulig, eller plasser dem bak en VPN .
6. Overvåk for unormal utgående dataoverføring fra PeopleSoft-servere – store overføringer til ukjente eksterne IP-adresser er en sterk indikator på datasniking .

Kompromissindikatorer (IoC-er)

Publiserte IoC-er er fortsatt i utvikling etter hvert som etterforskningen fortsetter. Likevel har flere kategorier av indikatorer dukket opp fra tidlig rapportering:

• Uautoriserte HTTP-forespørsler rettet mot Updates Environment Management-endepunktet i PeopleTools .
• Web-shells eller uventede skriptfiler på PeopleSoft-applikasjonsservere .
• Uvanlige påloggingshendelser fra ukjente IP-adresser eller tjenestekontoer som sjeldent logger på .
• Store utgående dataoverføringer fra PeopleSoft-databaseservere til eksterne destinasjoner .
• Nylig opprettede tjenestekontoer eller planlagte oppgaver på kompromitterte servere .

Spesifikke angriperkontrollerte IP-adresser er også publisert – Pathlock rapporterte for eksempel om tilkoblinger fra 142.11.200.186–190, 108.174.202.99 og 176.120.22.24 – samt en løsepengefil kalt README-IF-... som organisasjoner bør søke etter i sine PeopleSoft-logger .

ShinyHunters og utdanningssektoren: Et gjentakende mønster

Oracle PeopleSoft-kampanjen er ikke et engangstilfelle for ShinyHunters. Gruppen har en veldokumentert preferanse for utdanningsmål, drevet av flere strategiske faktorer:

• Rike, aggregerte datasett. Universiteter og høyskoler drifter massive PeopleSoft-installasjoner som konsoliderer flere tiår med person-, akademiske og økonomiske data på tvers av hundretusenvis av individer .
• Treg oppdateringstakt. Høyere utdanningsinstitusjoner kjører ofte tungt tilpassede PeopleSoft-miljøer med inkonsekvente og forsinkede oppdateringsrutiner, noe som gjør dem til enkle mål for enhver sårbarhet som blir våpen-gjort .
• Utpressing, ikke løsepengevirus. ShinyHunters fokuserer på datatyveri og utpressing snarere enn løsepengevirus, en modell som gir høy avkastning når de stjålne dataene er sensitive nok til å kreve en utbetaling .
• Masse-skanningskampanjer. Gruppen skanner bredt på tvers av hele sektorer i stedet for å plukke ut enkeltstående høyverdige mål, en teknikk som maksimerer fotavtrykket deres når en kritisk sårbarhet som CVE-2026-35273 dukker opp .

Kampanjen i juni 2026 følger tidligere ShinyHunters-angrep på universiteter og utdanningsteknologi-plattformer, der gruppen stjal millioner av dataposter og solgte dem på mørkenettforum. Kombinasjonen av et null-dags RCE-hull i PeopleTools og en offersektor med vedvarende sikkerhetshull viste seg å være usedvanlig effektiv.

For organisasjoner som fortsatt vurderer sin eksponering, er det umiddelbare prioriteten å patche. Utover dette fungerer hendelsen som en påminnelse om at store ERP-plattformer krever de samme lagdelte forsvarsverkene, overvåkningen og den raske responsen som enhver internett-rettet kritisk tjeneste.