Mobile-Menu

Mandiant bestätigt CVE-2026-35273 und aktive Angriffe ShinyHunters missbrauchen Zero-Day-Lücke in Oracle PeopleSoft

Von Thomas Joos 2 min Lesedauer

Anbieter zum Thema

Aagon GmbH
FAST LTA GmbH
FTAPI Software GmbH

Die Erpressergruppe ShinyHunters missbraucht eine kritische Zero-Day-Lücke in Oracle PeopleSoft, um Daten aus Hochschulen und Unternehmen zu stehlen. Sicherheitsforscher von Mandiant dokumentieren Angriffe auf mehr als 100 Organisationen, rund 68 Prozent davon aus dem Hochschul­be­reich. Oracle hat am 10.06.2026 einen Patch veröffentlicht, der umgehend eingespielt werden sollte.

Die Erpressergruppe ShinyHunters stiehlt über die Schwachstelle CVE-2026-35273 Daten aus Oracle-PeopleSoft-Systemen von Hochschulen und Unternehmen. Oracle hat am 10.06.2026 einen Notfall-Patch veröffentlicht.(Bild: Gemini / KI-generiert)
Die Erpressergruppe ShinyHunters stiehlt über die Schwachstelle CVE-2026-35273 Daten aus Oracle-PeopleSoft-Systemen von Hochschulen und Unternehmen. Oracle hat am 10.06.2026 einen Notfall-Patch veröffentlicht.
(Bild: Gemini / KI-generiert)

Sicherheitsforscher und Google Mandiant ordnen eine laufende Angriffswelle der Gruppe ShinyHunters zu, die ERP-Systeme von Oracle PeopleSoft über CVE-2026-35273 kom­pro­mit­tie­rt. Erste Details zur Kampagne dokumentierte BleepingComputer. Betroffen sind nach Angaben von Mandiant mehr als 100 Organisationen, davon rund 68 Prozent aus dem Hochschulbereich. Die Angreifer erbeuten Personal-, Finanz- und Abrechnungsdaten und fordern anschließend Lösegeld.

Kritische RCE-Lücke in PeopleTools

Im Zentrum steht eine kritische Schwachstelle in Oracle PeopleSoft Enterprise PeopleTools, konkret in der Komponente Updates Environment Management. Die Lücke hat einen CVSS-3.1-Score von 9.8 mit dem Vektor CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H und erlaubt nicht authentifizierten Angreifern die Codeausführung aus der Ferne über HTTP. NVD und CISA ordnen den Fehler der Schwachstellenklasse CWE-306 zu, einer fehlenden Authentifizierung für eine kritische Funktion. Verwundbar sind die PeopleTools-Versionen 8.61 und 8.62, ebenso können Kunden von PeopleSoft Enterprise Applications betroffen sein.

Die Angreifer sollen laut eigenen Angaben eine Angriffskette aus CVE-2026-35273 und weiteren, bislang nicht öffentlich identifizierten Schwachstellen einsetzen. Ein einzelner unauthentifizierter HTTP-Request reicht aus, um die vollständige Kontrolle über den Server zu erlangen. In den Indikatoren tauchen die Endpunkte /PSEMHUB/ und /PSIGW/HttpListeningConnector auf, über die der Exploit ansetzt.

Angriffe seit Ende Mai, Hochschulen im Fokus

Google Mandiant datiert die Aktivität auf den Zeitraum vom 27.05.2026 bis zum 09.06.2026 und führt sie unter der Kennung UNC6240. Nach Bekanntwerden von Scanning und Ausnutzung informierte das Team mehr als 100 Organisationen, deren IP-Adressen mit verwundbaren Endpunkten korrelierten. Als bestätigtes Opfer gilt die Universität Nottingham, deren Daten ShinyHunters am 09.06.2026 auf der eigenen Leak-Seite veröffentlicht hat. Die Hochschule räumt einen Sicherheitsvorfall ein.

Forscher fanden zudem offen erreichbare Verzeichnisse mit Angriffswerkzeugen, darunter als Microsoft-Azure-Dienste getarnte MeshCentral-Agenten sowie Skripte für Defacement und Credential-Spraying. Ein hinterlegtes Skript durchsucht die Datei /etc/hosts nach PeopleSoft-Systemen und versucht den Zugriff per SSH über typische Administratorkonten, darunter "psoft", "oracle" und "linuxadm".

Oracle liefert Gegenmaßnahmen

Oracle hat am 10.06.2026 einen außerplanmäßigen Security Alert veröffentlicht und gleichzeitig einen Patch bereitgestellt. Administratoren finden diesen über das Oracle Support Portal (Patch Availability Document ID: CPU187) und sollten ihn vorrangig einspielen. Ergänzend empfiehlt es sich, den Environment Management Hub zu deaktivieren, sofern der Dienst nicht benötigt wird, und den externen Zugriff auf die Endpunkte /PSEMHUB/ und /PSIGW/HttpListeningConnector zu unterbinden.

Zusätzlich sollten Verantwortliche ausgehenden SMB-Verkehr über Port 445 von PeopleSoft-Hosts nach außen blockieren, da der Exploit darüber NetNTLM-Hashes von Maschinenkonten abgreifen kann. Eine Auswertung der Protokolle auf Verbindungen von den bekannten IOC-Adressen zeigt, ob eine Instanz ins Visier geriet. Die US-Behörde CISA führt die Lücke seit dem 12.06.2026 im Katalog bekannter ausgenutzter Schwachstellen und setzt eine Frist bis zum 15.06.2026, ein Dringlichkeitsmaßstab, der sich auf europäische Organisationen übertragen lässt. Bei Treffern empfiehlt sich eine sofortige Incident Response samt vorübergehender Trennung betroffener Server vom Internet, bis die Umgebung geprüft und abgesichert ist.

(ID:50871096)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte