El equipo de extorsión de ShinyHunters aprovechó una falla no parcheada en Oracle PeopleSoft para infiltrarse en los sistemas corporativos, robar datos y exigir pagos de confidencialidad. Esta campaña afectó más a las universidades.
Mandiant de Google atribuye el problema a un grupo que lo rastrea como UNC6240 y fecha la actividad del 27 de mayo al 9 de junio. Oracle no emitió un aviso hasta el 10 de junio, por lo que este error fue de día cero desde el principio.
Esta falla, CVE-2026-35273, es un error de ejecución remota de código en PeopleSoft Enterprise PeopleTools y tiene una calificación de 9,8 sobre 10. Tomar el control de un servidor no requiere inicio de sesión ni interacción del usuario, solo acceso a la red a través de HTTP. La ejecución de PeopleSoft utilizando un centro de gestión de entorno accesible desde el exterior lo pone en riesgo y usted debe bloquear inmediatamente estos puntos finales.
Esta vulnerabilidad existe en el componente de Gestión ambiental de actualizaciones detrás del Centro de gestión ambiental (PSEMHUB). Oracle enumera PeopleTools 8.61 y 8.62 como afectados y ha declarado anteriormente que las versiones no compatibles también pueden ser vulnerables. Este informe da crédito a los investigadores de TrendAI Zero Day Initiative y TrendAI Research.
El CTO de Mandiant, Charles Carmakal, confirmó que este error se está explotando en la naturaleza. Oracle no dijo si fue testigo de algún abuso. El aviso documenta la disponibilidad de parches detrás del inicio de sesión de soporte, pero no está claro si una solución completa estará ampliamente disponible. En este momento, esta guía se centra en la mitigación.
Los detalles de la operación se hicieron públicos cuando los atacantes dejaron sus equipos expuestos. El investigador @nahamike01 marcó públicamente Open Directory. Luego, Mandiant priorizó cinco direcciones IP contiguas que ejecutaban el servidor SimpleHTTP de Python en el puerto 8888. Estos servidores expusieron archivos provisionales como un .bash_history compartido, un agente de administración remota MeshCentral personalizado disfrazado de archivos binarios de Microsoft Azure y scripts de movimiento lateral.
El agente llamó a un servidor de comando y control en azurenetfiles.net, un dominio elegido para parecerse a Azure NetApp Files. El script, llamado (victim)_fanout.sh, se propaga a través de SSH al distribuir una lista codificada de nombres de usuario y contraseñas a los hosts internos recuperados de /etc/hosts, y coloca un archivo de marcador llamado README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT en el directorio de PeopleSoft. El historial de comandos muestra datos comprimidos zstd y conexiones SSH salientes al servidor que aloja el espejo público del sitio de filtración de ShinyHunters.
Mandiant notificó a más de 100 organizaciones cuyas direcciones IP coincidían con puntos finales vulnerables. El 68% tenía educación superior, la mayoría en Estados Unidos. Algunos bloquearon sus actividades. Otros se vieron comprometidos y sus datos se publicaron en sitios filtrados.
La Universidad de Nottingham fue una de las primeras víctimas confirmadas. Have I Been Pwned contó aproximadamente 455.000 direcciones de correo electrónico únicas en el conjunto filtrado. Esto incluye estudiantes y ex alumnos actuales e incluye detalles sobre nombre, dirección, número de teléfono, número de pasaporte, origen étnico y discapacidad. La universidad confirmó la violación.
La guía de Oracle es deshabilitar el servicio Environment Management Hub en configuraciones de múltiples servidores o eliminar completamente la aplicación PSEMHUB en configuraciones de un solo servidor. Si ninguna de las dos cosas es posible, bloquee el acceso externo a /PSEMHUB/* (específicamente /PSEMHUB/hub) y /PSIGW/HttpListeningConnector en el borde.
Mandiant advierte que las normas de inspección de carrocerías WAF por sí solas no son suficientes y pueden eludirse. Restringir estos puntos finales no interrumpe las sesiones normales de los usuarios.
A continuación, busque señales de un compromiso existente.
Registros de acceso de WebLogic que muestran solicitudes POST externas a /PSEMHUB/hub o /PSIGW/HttpListeningConnector. Hay archivos .jsp inesperados en el directorio de la aplicación web PSEMHUB.war o carpetas extrañas denominadas logs, persistentestorage o Scratchpad en la ruta de PSEMHUB. El archivo .xml ubicado en envmetadata/data/environment en la raíz del documento web se modificó recientemente. Esto se puede aprovechar para conservar el XMLDecoder que se iniciará en el próximo reinicio. Tráfico SMB saliente en el puerto 445 desde hosts de PeopleSoft a destinos externos. Se podría utilizar una cadena de explotación para capturar el hash NetNTLM de una cuenta de máquina.
Aplique las actualizaciones de Oracle para su versión de PeopleTools una vez que se confirme su disponibilidad en My Oracle Support.
ShinyHunters señala que el esfuerzo de ayuda a las víctimas aún está en sus inicios y que la mayoría de las organizaciones que hacen los reclamos no figuran en la lista, por lo que es posible que se mencionen más nombres.
El método es más grande. ShinyHunters ha utilizado recientemente vishing, tokens robados y controles de acceso débiles para robar datos de plataformas SaaS y educativas que van desde clientes de Salesforce hasta Canvas. Los días cero del lado del servidor para el software ERP local van un paso más allá y apuntan al mismo objetivo rico en datos.
La pregunta abierta es si se trató de un préstamo de día cero único o si ShinyHunters está comenzando a hacer la transición al apalancamiento de ERP.
Source link
