Oracle PeopleSoft: ShinyHunters RCE-Angriff

Oracle PeopleSoft: ShinyHunters RCE-Angriff

Die Sicherheitslücken CVE-2026-35278 (CVSS 9.8) und CVE-2026-35273 in Oracle PeopleSoft werden aktuell von der Gruppierung ShinyHunters aktiv ausgenutzt. Besonders betroffen ist der Bildungssektor – 68 % der über 100 identifizierten Opfer stammen aus Hochschulen und Universitäten.

Was ist CVE-2026-35278?

CVE-2026-35278 ist eine pre-authentication Remote Code Execution-Schwachstelle im Oracle PeopleSoft PeopleTools. Sie ermöglicht einem unauthentifizierten Angreifer mit Netzwerkzugriff via HTTP die vollständige Übernahme des PeopleSoft-Anwendungsservers und des darunterliegenden Hosts.

Die Schwachstelle sitzt im Updates Environment Management-Component hinter dem Environment Management Hub (PSEMHUB). Oracle listet PeopleTools 8.61 und 8.62 als betroffen, ältere nicht unterstützte Versionen sind vermutlich ebenfalls verwundbar.

Betroffene Versionen

  • Oracle PeopleSoft PeopleTools 8.61 (alle Versionen vor July 2026 CPU)
  • Oracle PeopleSoft PeopleTools 8.62 (alle Versionen vor July 2026 CPU)
  • Vermutlich auch ältere, nicht mehr unterstützte Versionen

Angriffsverlauf: ShinyHunters-Kampagne

Mandiant (Google Cloud) attributiert die Angriffe auf UNC6240 (ShinyHunters) und datiert die Aktivität zwischen 27. Mai und 9. Juni 2026. Die Angreifer nutzten die Zero-Day-Lücke, bevor Oracle am 10. Juni den Advisory veröffentlichte.

Angriffskette:

  1. Initiale Kompromittierung via CVE-2026-35278 (pre-auth RCE)
  2. Privilegieneskalation und laterale Bewegung mit CVE-2026-35273
  3. Exfiltration von HR-, Payroll- und PII-Daten aus PeopleSoft-HCM-Datenbanken
  4. Installation von Persistence-Mechanismen für langfristigen Zugriff

Die University of Nottingham ist eines der ersten bestätigten Opfer – rund 455.000 eindeutige E-Mail-Adressen von Studierenden und Alumni wurden geleakt, darunter Namen, Adressen, Telefonnummern, Passnummern sowie Informationen zu Ethnie und Behinderungen.

Gegenmaßnahmen

1. Patchen (Priorität: Notfall)
Oracle hat Patches im July 2026 Critical Patch Update (CPU) veröffentlicht. Alle PeopleSoft-Umgebungen sollten innerhalb von 72 Stunden aktualisiert werden.

2. Workarounds (wenn Patching verzögert)

  • Environment Management Hub-Service auf Multi-Server-Setups deaktivieren
  • PSEMHUB-Applikation auf Single-Server-Setups entfernen
  • Externen Zugriff auf /PSEMHUB/* (insbesondere /PSEMHUB/hub) und /PSIGW/HttpListeningConnector am Perimeter blockieren
  • Netzwerkzugriff auf PeopleSoft-HTTP-Schnittstellen auf vertrauenswürdige IP-Ranges beschränken

3. Kompromittierungsprüfung
Folgende Indikatoren in WebLogic-Access-Logs und auf PeopleSoft-Hosts prüfen:

  • Externe POST-Requests an /PSEMHUB/hub oder /PSIGW/HttpListeningConnector
  • Unerwartete .jsp-Dateien unter PSEMHUB.war-Verzeichnis
  • Odd folders: logs, persistantstorage, scratchpad unter PSEMHUB-Pfaden
  • Geänderte .xml-Dateien unter envmetadata/data/environment (XMLDecoder-Persistence)
  • Ausgehender SMB-Traffic (Port 445) von PeopleSoft-Hosts nach extern

4. Credential Hygiene
Nach dem Patchen alle PeopleSoft- und WebLogic-Admin-Credentials rotieren.

Fazit

CVE-2026-35278 wird aktiv von ShinyHunters ausgenutzt, mit Fokus auf bildungsrelevante Einrichtungen. Die Kombination aus pre-auth RCE und nachgewiesener Datenexfiltration macht diese Lücke zu einer der kritischsten Bedrohungen im Juli 2026. Patchen hat absolute Priorität – alternativ müssen die PSEMHUB-Endpoints sofort vom Internet genommen werden.

Quellen

Quelle: Oracle Security Advisory, Mandiant, CISA KEV – Stand 08.07.2026

Kommentar abschicken