Vulnerabilidad Zero-Day en Oracle PeopleSoft (CVE-2026-35273) siendo explotada

El grupo de extorsionadores ShinyHunters explotó una vulnerabilidad sin parchear en Oracle PeopleSoft para infiltrarse en sistemas empresariales, robar datos y exigir un pago para mantenerlos privados. La campaña afectó principalmente a las universidades.

Mandiant, de Google, atribuye la actividad al grupo UNC6240 y la fecha entre el 27 de mayo y el 9 de junio. Oracle no publicó su aviso hasta el 10 de junio, por lo que la vulnerabilidad fue de Zero-Day durante todo ese período.

La vulnerabilidad, CVE-2026-35273, es un fallo de ejecución remota de código en PeopleSoft Enterprise PeopleTools con una calificación de 9.8 sobre 10. No requiere inicio de sesión ni interacción del usuario; solo acceso a la red mediante HTTP para tomar el control del servidor. Si utiliza PeopleSoft con el Centro de administración de entornos accesible desde el exterior, está expuesto, y la medida inmediata es proteger esos puntos finales.

La vulnerabilidad reside en el componente de Administración de entornos de actualizaciones, el componente que gestiona el Centro de administración de entornos (PSEMHUB). Oracle indica que PeopleTools 8.61 y 8.62 están afectadas y que las versiones anteriores, sin soporte, probablemente también sean vulnerables. Atribuye el informe a investigadores de TrendAI Zero Day Initiative y TrendAI Research.

Charles Carmakal, CTO de Mandiant, confirmó que la vulnerabilidad está siendo explotada; Oracle no ha confirmado si ha detectado alguna explotación. Su aviso remite a un documento de disponibilidad de parches que requiere una cuenta de soporte, y no está claro si existe una solución completa disponible para todos. Por ahora, la guía se centra en la mitigación.

Los detalles operativos se hicieron públicos porque los atacantes dejaron sus propios equipos expuestos. La investigadora @nahamike01 señaló públicamente los directorios abiertos. Mandiant analizó cinco direcciones IP consecutivas que ejecutaban el servidor SimpleHTTP de Python en el puerto 8888. Estos servidores expusieron los archivos de preparación: un archivo .bash_history compartido, agentes de administración remota MeshCentral personalizados disfrazados de binarios de Microsoft Azure y un script de movimiento lateral.

Los agentes se conectaron a un servidor de comando y control en azurenetfiles.net, un dominio elegido para imitar Azure NetApp Files. El script, llamado [victim]_fanout.sh, se propaga a través de SSH enviando una lista predefinida de nombres de usuario y contraseñas a hosts internos obtenidos de /etc/hosts, y luego coloca un archivo marcador llamado README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT en directorios de PeopleSoft. El historial de comandos muestra los datos comprimidos con zstd y una conexión SSH saliente al servidor que aloja la copia pública del sitio de filtración ShinyHunters.

Mandiant notificó a más de 100 organizaciones cuyas direcciones IP coincidían con los puntos finales vulnerables. El 68% pertenecían al sector de la educación superior, la mayoría en Estados Unidos. Algunas bloquearon la actividad; otras fueron comprometidas y sus datos se publicaron en el sitio de filtración.

La Universidad de Nottingham es una de las primeras víctimas confirmadas. Have I Been Pwned ha contabilizado aproximadamente 455.000 direcciones de correo electrónico únicas en la filtración, que incluye a estudiantes actuales y antiguos alumnos, con nombres, direcciones, números de teléfono, números de pasaporte e información sobre etnia y discapacidades. La universidad ha confirmado la brecha de seguridad.

Oracle recomienda deshabilitar el servicio Environment Management Hub en configuraciones multiservidor o eliminar la aplicación PSEMHUB por completo en configuraciones de un solo servidor. Si no es posible realizar ninguna de estas acciones, bloquee el acceso externo a /PSEMHUB/* (especialmente /PSEMHUB/hub) y /PSIGW/HttpListeningConnector en el perímetro.

Mandiant advierte que las reglas de inspección del cuerpo del WAF por sí solas no son suficientes, ya que pueden eludirse. Restringir estos puntos finales no interrumpe las sesiones de usuario normales.

A continuación, busque indicios de una posible vulneración:

• Registros de acceso de WebLogic que muestren solicitudes POST externas a /PSEMHUB/hub o /PSIGW/HttpListeningConnector. Archivos .jsp inesperados en el directorio de la aplicación web PSEMHUB.war, o carpetas extrañas llamadas logs, persistantstorage o scratchpad en las rutas de PSEMHUB.
• Archivos .xml modificados recientemente en envmetadata/data/environment del directorio raíz del documento web, que pueden ser explotados para la persistencia de XMLDecoder que se activa en el siguiente reinicio.
• Tráfico SMB saliente en el puerto 445 desde hosts de PeopleSoft a destinos externos, que la cadena de exploits puede usar para capturar hashes NetNTLM de cuentas de máquina.
• Aplique la actualización de Oracle para su versión de PeopleTools una vez que confirme que está disponible en My Oracle Support.

ShinyHunters afirma que la búsqueda de víctimas acaba de comenzar y no ha publicado la mayoría de las organizaciones que menciona, por lo que es probable que haya más nombres.

El método es la clave. Últimamente, ShinyHunters ha recurrido al vishing, tokens robados y controles de acceso débiles para robar datos de plataformas SaaS y educativas, desde clientes de Salesforce hasta Canvas. Una vulnerabilidad de día cero en un servidor de software ERP local representa un avance significativo, dirigido a los mismos objetivos con gran cantidad de datos.

La incógnita reside en si se trató de una vulnerabilidad de día cero aislada o del inicio de la incursión de ShinyHunters en la explotación de sistemas ERP.

Fuente: THN

Suscríbete a nuestro Boletín