Vulnerabilidade 0-day no Oracle PeopleSoft Explorada para Comprometer Centenas de Organizações
Um grupo de hackers conhecido como ShinyHunters explorou uma falha crítica de dia zero (0-day) no Oracle PeopleSoft, afetando mais de 100 organizações globalmente. A vulnerabilidade, com pontuação CVSS de 9.8, permitiu a execução remota de código sem autenticação, com o setor educacional sendo o mais atingido.
MundiX News·16 de junho de 2026·5 min de leitura·👁 10 views
A organização de cibersegurança ShinyHunters capitalizou uma vulnerabilidade crítica de dia zero (0-day) no Oracle PeopleSoft, identificada como CVE-2026-35273, para lançar ataques contra organizações em todo o mundo. Especialistas do Google e da Mandiant relataram que, desde o final de maio, os hackers exploraram ativamente essa falha, resultando no comprometimento de mais de 100 organizações e na exfiltração de dados de aproximadamente 300 instâncias do PeopleSoft. Instituições de ensino foram as mais afetadas por esta campanha de ataques.
O PeopleSoft é uma solução de Planejamento de Recursos Empresariais (ERP) amplamente utilizada por grandes corporações, agências governamentais e instituições educacionais para gerenciar processos de recursos humanos, folha de pagamento, finanças, aquisições e dados de estudantes ou funcionários. A vulnerabilidade CVE-2026-35273 recebeu uma pontuação de 9.8 na escala CVSS, indicando sua gravidade, e permite a execução remota de código sem a necessidade de autenticação através de HTTP. Esta falha afeta especificamente as versões 8.61 e 8.62 do Oracle PeopleSoft PeopleTools.
Inicialmente, a Oracle limitou-se a publicar recomendações de segurança, sem confirmar o uso da falha em ataques reais. No entanto, a empresa instou os clientes a implementarem imediatamente as medidas sugeridas para mitigar os riscos e prometeu o lançamento de um patch completo em breve. Posteriormente, a Oracle admitiu ter detectado sinais de exploração limitada da falha. A notícia sobre os ataques à vulnerabilidade do PeopleSoft veio à tona quando as vítimas começaram a receber notas de resgate assinadas pela ShinyHunters. Os próprios atacantes confirmaram sua participação nos ataques a jornalistas, afirmando ter comprometido mais de 300 instâncias do PeopleSoft pertencentes a mais de 100 organizações. Segundo os hackers, a exploração envolveu uma cadeia de vulnerabilidades antigas e previamente desconhecidas, com o sucesso do ataque dependendo da configuração específica de cada sistema.
A primeira vítima publicamente confirmada desta campanha foi a Universidade de Nottingham. A ShinyHunters alega ter roubado cerca de 40 GB de dados da instituição, incluindo informações pessoais e dados de pagamento de centenas de milhares de estudantes atuais e antigos. As análises do Google Threat Intelligence Group e da Mandiant corroboram as declarações dos atacantes. Os pesquisadores registraram a exploração da CVE-2026-35273 entre 27 de maio e 9 de junho, notificando mais de 100 organizações cujos endereços IP estavam associados a sistemas potencialmente vulneráveis. A maioria dessas organizações está localizada nos Estados Unidos, com aproximadamente 68% pertencentes ao setor educacional.
De acordo com os pesquisadores, os hackers utilizaram agentes MeshCentral modificados, disfarçados de serviços legítimos da Microsoft Azure, para gerenciar os sistemas infectados. Após obterem acesso, os atacantes realizavam reconhecimento interno, analisavam as configurações do PeopleSoft e do Oracle WebLogic, e então se moviam pela infraestrutura utilizando credenciais roubadas, encontradas ou codificadas. Um pesquisador de segurança cibernética, sob o pseudônimo Michael R, também descobriu diretórios abertos contendo ferramentas dos atacantes, incluindo scripts para defacement de sistemas, ataques de força bruta de credenciais e a colocação automática de notas de resgate em servidores PeopleSoft. A Mandiant recomenda que as organizações restrinjam o acesso a instalações vulneráveis do PeopleSoft, verifiquem logs em busca de atividades suspeitas nos componentes /PSEMHUB/ e /PSIGW/HttpListeningConnector/, e procurem por sinais de comprometimento, como web shells, arquivos não autorizados nos diretórios de aplicativos e arquivos XML modificados recentemente.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A organização de cibersegurança ShinyHunters capitalizou uma vulnerabilidade crítica de dia zero (0-day) no Oracle PeopleSoft, identificada como CVE-2026-35273, para lançar ataques contra organizações em todo o mundo. Especialistas do Google e da Mandiant relataram que, desde o final de maio, os hackers exploraram ativamente essa falha, resultando no comprometimento de mais de 100 organizações e na exfiltração de dados de aproximadamente 300 instâncias do PeopleSoft. Instituições de ensino foram as mais afetadas por esta campanha de ataques.
O PeopleSoft é uma solução de Planejamento de Recursos Empresariais (ERP) amplamente utilizada por grandes corporações, agências governamentais e instituições educacionais para gerenciar processos de recursos humanos, folha de pagamento, finanças, aquisições e dados de estudantes ou funcionários. A vulnerabilidade CVE-2026-35273 recebeu uma pontuação de 9.8 na escala CVSS, indicando sua gravidade, e permite a execução remota de código sem a necessidade de autenticação através de HTTP. Esta falha afeta especificamente as versões 8.61 e 8.62 do Oracle PeopleSoft PeopleTools.
Inicialmente, a Oracle limitou-se a publicar recomendações de segurança, sem confirmar o uso da falha em ataques reais. No entanto, a empresa instou os clientes a implementarem imediatamente as medidas sugeridas para mitigar os riscos e prometeu o lançamento de um patch completo em breve. Posteriormente, a Oracle admitiu ter detectado sinais de exploração limitada da falha. A notícia sobre os ataques à vulnerabilidade do PeopleSoft veio à tona quando as vítimas começaram a receber notas de resgate assinadas pela ShinyHunters. Os próprios atacantes confirmaram sua participação nos ataques a jornalistas, afirmando ter comprometido mais de 300 instâncias do PeopleSoft pertencentes a mais de 100 organizações. Segundo os hackers, a exploração envolveu uma cadeia de vulnerabilidades antigas e previamente desconhecidas, com o sucesso do ataque dependendo da configuração específica de cada sistema.
A primeira vítima publicamente confirmada desta campanha foi a Universidade de Nottingham. A ShinyHunters alega ter roubado cerca de 40 GB de dados da instituição, incluindo informações pessoais e dados de pagamento de centenas de milhares de estudantes atuais e antigos. As análises do Google Threat Intelligence Group e da Mandiant corroboram as declarações dos atacantes. Os pesquisadores registraram a exploração da CVE-2026-35273 entre 27 de maio e 9 de junho, notificando mais de 100 organizações cujos endereços IP estavam associados a sistemas potencialmente vulneráveis. A maioria dessas organizações está localizada nos Estados Unidos, com aproximadamente 68% pertencentes ao setor educacional.
De acordo com os pesquisadores, os hackers utilizaram agentes MeshCentral modificados, disfarçados de serviços legítimos da Microsoft Azure, para gerenciar os sistemas infectados. Após obterem acesso, os atacantes realizavam reconhecimento interno, analisavam as configurações do PeopleSoft e do Oracle WebLogic, e então se moviam pela infraestrutura utilizando credenciais roubadas, encontradas ou codificadas. Um pesquisador de segurança cibernética, sob o pseudônimo Michael R, também descobriu diretórios abertos contendo ferramentas dos atacantes, incluindo scripts para defacement de sistemas, ataques de força bruta de credenciais e a colocação automática de notas de resgate em servidores PeopleSoft. A Mandiant recomenda que as organizações restrinjam o acesso a instalações vulneráveis do PeopleSoft, verifiquem logs em busca de atividades suspeitas nos componentes /PSEMHUB/ e /PSIGW/HttpListeningConnector/, e procurem por sinais de comprometimento, como web shells, arquivos não autorizados nos diretórios de aplicativos e arquivos XML modificados recentemente.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
