El grupo de extorsionadores ShinyHunters explotó una vulnerabilidad sin
parchear en Oracle PeopleSoft para infiltrarse en sistemas empresariales,
robar datos y exigir un pago para mantenerlos privados. La campaña afectó
principalmente a las universidades.
Mandiant, de Google,
atribuye la actividad al grupo UNC6240
y la fecha entre el 27 de mayo y el 9 de junio. Oracle no publicó su aviso
hasta el 10 de junio, por lo que la vulnerabilidad fue de Zero-Day durante
todo ese período.
La vulnerabilidad,
CVE-2026-35273, es un fallo de ejecución remota de código en PeopleSoft Enterprise
PeopleTools con una calificación de 9.8 sobre 10. No requiere inicio de
sesión ni interacción del usuario; solo acceso a la red mediante HTTP para
tomar el control del servidor. Si utiliza PeopleSoft con el Centro de
administración de entornos accesible desde el exterior, está expuesto, y la
medida inmediata es proteger esos puntos finales.
La vulnerabilidad reside en el componente de Administración de entornos de
actualizaciones, el componente que gestiona el Centro de administración de
entornos (PSEMHUB). Oracle indica que
PeopleTools 8.61 y 8.62 están afectadas y que las versiones anteriores, sin
soporte, probablemente también sean vulnerables.
Atribuye el informe a investigadores de TrendAI Zero Day Initiative y TrendAI
Research.
Charles Carmakal, CTO de Mandiant,
confirmó que la vulnerabilidad está siendo explotada; Oracle no ha confirmado si ha detectado alguna explotación. Su aviso remite
a un documento de disponibilidad de parches que requiere una cuenta de
soporte, y no está claro si existe una solución completa disponible para
todos. Por ahora, la guía se centra en la mitigación.
Los detalles operativos se hicieron públicos porque los atacantes dejaron sus
propios equipos expuestos. La investigadora
@nahamike01
señaló públicamente los directorios abiertos. Mandiant analizó cinco
direcciones IP consecutivas que ejecutaban el servidor SimpleHTTP de Python en
el puerto 8888. Estos servidores expusieron los archivos de preparación: un
archivo .bash_history compartido, agentes de administración remota
MeshCentral personalizados disfrazados de binarios de Microsoft Azure y
un script de movimiento lateral.
Los agentes se conectaron a un servidor de comando y control en
azurenetfiles.net, un dominio elegido para imitar Azure NetApp Files.
El script, llamado [victim]_fanout.sh, se propaga a través de
SSH enviando una lista predefinida de nombres de usuario y contraseñas a hosts
internos obtenidos de /etc/hosts, y luego coloca un archivo marcador
llamado README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT en directorios de
PeopleSoft. El historial de comandos muestra los datos comprimidos con
zstd y una conexión SSH saliente al servidor que aloja la copia pública
del sitio de filtración ShinyHunters.
Mandiant notificó a más de 100 organizaciones cuyas direcciones IP coincidían
con los puntos finales vulnerables. El 68% pertenecían al sector de la
educación superior, la mayoría en Estados Unidos. Algunas bloquearon la
actividad; otras fueron comprometidas y sus datos se publicaron en el sitio de
filtración.
La Universidad de Nottingham es una de las primeras víctimas confirmadas.
Have I Been Pwned ha contabilizado
aproximadamente 455.000 direcciones de correo electrónico únicas en la
filtración, que incluye a estudiantes actuales y antiguos alumnos, con
nombres, direcciones, números de teléfono, números de pasaporte e información
sobre etnia y discapacidades. La universidad ha confirmado la brecha de
seguridad.
Oracle recomienda deshabilitar el servicio Environment Management Hub en
configuraciones multiservidor o eliminar la aplicación PSEMHUB por completo
en configuraciones de un solo servidor. Si no es posible realizar ninguna de estas acciones, bloquee el acceso
externo a /PSEMHUB/* (especialmente /PSEMHUB/hub) y
/PSIGW/HttpListeningConnector en el perímetro.
Mandiant advierte que
las reglas de inspección del cuerpo del WAF por sí solas no son
suficientes, ya que pueden eludirse. Restringir estos puntos finales no interrumpe las
sesiones de usuario normales.
A continuación, busque indicios de una posible vulneración:
-
Registros de acceso de WebLogic que muestren solicitudes POST externas a
/PSEMHUB/hub o /PSIGW/HttpListeningConnector. Archivos
.jsp inesperados en el directorio de la aplicación web
PSEMHUB.war, o carpetas extrañas llamadas
logs, persistantstorage o scratchpad en las rutas de
PSEMHUB. -
Archivos .xml modificados recientemente en
envmetadata/data/environment del directorio raíz del documento web,
que pueden ser explotados para la persistencia de XMLDecoder que se
activa en el siguiente reinicio. -
Tráfico SMB saliente en el puerto 445 desde hosts de PeopleSoft a destinos
externos, que la cadena de exploits puede usar para capturar hashes NetNTLM
de cuentas de máquina. -
Aplique la actualización de Oracle para su versión de PeopleTools una vez
que confirme que está disponible en My Oracle Support.
ShinyHunters afirma que la búsqueda de víctimas acaba de comenzar y no ha
publicado la mayoría de las organizaciones que menciona, por lo que es
probable que haya más nombres.
El método es la clave. Últimamente, ShinyHunters ha recurrido al vishing,
tokens robados y controles de acceso débiles para robar datos de plataformas
SaaS y educativas, desde clientes de Salesforce hasta Canvas. Una
vulnerabilidad de día cero en un servidor de software ERP local representa un
avance significativo, dirigido a los mismos objetivos con gran cantidad de
datos.
La incógnita reside en si se trató de una vulnerabilidad de día cero aislada o
del inicio de la incursión de ShinyHunters en la explotación de sistemas ERP.
Fuente:
THN