Google potvrdio da je zero-day u Oracle PeopleSoftu iskorišten u napadima skupine ShinyHunters

Google je potvrdio da je ranjivost u Oracleovu PeopleSoftu, koju je tvrtka ublažila ovog tjedna, iskorištena kao zero-day za krađu podataka iz organizacija. Oracle je izdao izvanrednu obavijest i sigurnosno upozorenje za CVE-2026-35273, kritičnu neautentificiranu ranjivost za udaljeno izvršavanje koda koja utječe na PeopleSoft Enterprise PeopleTools verzije 8.61 i 8.62, kao i na PeopleSoft Enterprise Applications. Rješenja za ublažavanje su objavljena, ali zakrpe zasad nisu dostupne.

PeopleSoft je ERP softverski paket koji velike organizacije koriste za upravljanje nizom poslovnih funkcija, uključujući ljudske resurse, obračun plaća, financije, opskrbni lanac i kampus operacije. Iako se koristi u više industrija, kampanja koja iskorištava CVE-2026-35273, prema Googleu, izgleda da je bila usmjerena na obrazovni sektor. Prva potvrđena žrtva je Sveučilište Nottingham u Ujedinjenom Kraljevstvu.

Mandiant i Google Threat Intelligence Group (GTIG) naveli su da su aktivnosti povezane s iskorištavanjem PeopleSoft zero-day ranjivosti promatrali između 27. svibnja i 9. lipnja. Napadi su pripisani skupini ShinyHunters, koju Google prati pod oznakom UNC6240. Istraživači su, kako navode, obavijestili više od 100 globalnih organizacija o mogućoj izloženosti, a većina ih se nalazi u SAD-u; 68 posto bilo je u sektoru visokog obrazovanja.

Google navodi da su neke od ciljanih organizacija blokirale napad, dok su druge kompromitirane i iz njih su podaci ukradeni. ShinyHunters tvrdi da je ciljano oko 300 PeopleSoft instanci koje pripadaju 100 organizacija. Mandiant i GTIG opisali su i da su napadači u pripremnim okruženjima koristili prilagođene MeshCentral agente koji su se predstavljali kao legitimne cloud krajnje točke, preko kojih su pokretali administrativne naredbe i raspoređivali prilagođenu skriptu za lateralno kretanje i defacement, [victim_abbreviation]_fanout.sh. Prema njihovoj procjeni, ta se kampanja izravno povezuje s naknadnim objavama ukradenih podataka na ShinyHunters Data Leak Siteu 9. lipnja 2026.

Google je objavio preporuke za sanaciju i dodatno učvršćivanje sustava, kao i tehničke pojedinosti o napadima i pokazatelje kompromitacije. Oracle nije odgovorio na upit o iskorištavanju ranjivosti. TrendAI, enterprise poslovanje tvrtke Trend Micro, čijim je istraživačima Oracle pripisao prijavu CVE-2026-35273, priopćio je da trenutačno vidi ograničeno iskorištavanje ranjivosti, ali da je istraga još u tijeku.