Oracle PeopleSoft: ShinyHunters RCE-Angriff
Die Sicherheitslücken CVE-2026-35278 (CVSS 9.8) und CVE-2026-35273 in Oracle PeopleSoft werden aktuell von der Gruppierung ShinyHunters aktiv ausgenutzt. Besonders betroffen ist der Bildungssektor – 68 % der über 100 identifizierten Opfer stammen aus Hochschulen und Universitäten.
Was ist CVE-2026-35278?
CVE-2026-35278 ist eine pre-authentication Remote Code Execution-Schwachstelle im Oracle PeopleSoft PeopleTools. Sie ermöglicht einem unauthentifizierten Angreifer mit Netzwerkzugriff via HTTP die vollständige Übernahme des PeopleSoft-Anwendungsservers und des darunterliegenden Hosts.
Die Schwachstelle sitzt im Updates Environment Management-Component hinter dem Environment Management Hub (PSEMHUB). Oracle listet PeopleTools 8.61 und 8.62 als betroffen, ältere nicht unterstützte Versionen sind vermutlich ebenfalls verwundbar.
Betroffene Versionen
- Oracle PeopleSoft PeopleTools 8.61 (alle Versionen vor July 2026 CPU)
- Oracle PeopleSoft PeopleTools 8.62 (alle Versionen vor July 2026 CPU)
- Vermutlich auch ältere, nicht mehr unterstützte Versionen
Angriffsverlauf: ShinyHunters-Kampagne
Mandiant (Google Cloud) attributiert die Angriffe auf UNC6240 (ShinyHunters) und datiert die Aktivität zwischen 27. Mai und 9. Juni 2026. Die Angreifer nutzten die Zero-Day-Lücke, bevor Oracle am 10. Juni den Advisory veröffentlichte.
Angriffskette:
- Initiale Kompromittierung via CVE-2026-35278 (pre-auth RCE)
- Privilegieneskalation und laterale Bewegung mit CVE-2026-35273
- Exfiltration von HR-, Payroll- und PII-Daten aus PeopleSoft-HCM-Datenbanken
- Installation von Persistence-Mechanismen für langfristigen Zugriff
Die University of Nottingham ist eines der ersten bestätigten Opfer – rund 455.000 eindeutige E-Mail-Adressen von Studierenden und Alumni wurden geleakt, darunter Namen, Adressen, Telefonnummern, Passnummern sowie Informationen zu Ethnie und Behinderungen.
Gegenmaßnahmen
1. Patchen (Priorität: Notfall)
Oracle hat Patches im July 2026 Critical Patch Update (CPU) veröffentlicht. Alle PeopleSoft-Umgebungen sollten innerhalb von 72 Stunden aktualisiert werden.
2. Workarounds (wenn Patching verzögert)
- Environment Management Hub-Service auf Multi-Server-Setups deaktivieren
- PSEMHUB-Applikation auf Single-Server-Setups entfernen
- Externen Zugriff auf
/PSEMHUB/*(insbesondere/PSEMHUB/hub) und/PSIGW/HttpListeningConnectoram Perimeter blockieren - Netzwerkzugriff auf PeopleSoft-HTTP-Schnittstellen auf vertrauenswürdige IP-Ranges beschränken
3. Kompromittierungsprüfung
Folgende Indikatoren in WebLogic-Access-Logs und auf PeopleSoft-Hosts prüfen:
- Externe POST-Requests an
/PSEMHUB/huboder/PSIGW/HttpListeningConnector - Unerwartete .jsp-Dateien unter PSEMHUB.war-Verzeichnis
- Odd folders:
logs,persistantstorage,scratchpadunter PSEMHUB-Pfaden - Geänderte .xml-Dateien unter
envmetadata/data/environment(XMLDecoder-Persistence) - Ausgehender SMB-Traffic (Port 445) von PeopleSoft-Hosts nach extern
4. Credential Hygiene
Nach dem Patchen alle PeopleSoft- und WebLogic-Admin-Credentials rotieren.
Fazit
CVE-2026-35278 wird aktiv von ShinyHunters ausgenutzt, mit Fokus auf bildungsrelevante Einrichtungen. Die Kombination aus pre-auth RCE und nachgewiesener Datenexfiltration macht diese Lücke zu einer der kritischsten Bedrohungen im Juli 2026. Patchen hat absolute Priorität – alternativ müssen die PSEMHUB-Endpoints sofort vom Internet genommen werden.
Quellen
- Oracle Security Alert – CVE-2026-35273
- Oracle July 2026 Critical Patch Update
- Google Threat Intelligence – ShinyHunters PeopleSoft Campaign
- The HackerNews – ShinyHunters Exploits Oracle PeopleSoft
- NVD – CVE-2026-35278 Detail
- CISA Known Exploited Vulnerabilities Catalog
- Have I Been Pwned – University of Nottingham Breach
Quelle: Oracle Security Advisory, Mandiant, CISA KEV – Stand 08.07.2026
Kommentar abschicken