Lo 0day in Oracle PeopleSoft ha permesso ai hacker di svuotare più di cento organizzazioni

Una vulnerabilità zero-day critica in Oracle PeopleSoft è stata sfruttata dal gruppo ShinyHunters per ottenere accesso a più di 100 organizzazioni. La falla permetteva il controllo completo della piattaforma e ha portato al furto di dati personali e registrazioni di pagamento. Le aziende sono state avvisate di chiudere manualmente i server vulnerabili in attesa di una patch ufficiale.

Il gruppo ShinyHunters ha dichiarato di aver utilizzato una vulnerabilità zero-day critica in Oracle PeopleSoft e di aver ottenuto l’accesso a più di 100 organizzazioni attraverso 300 istanze vulnerabili della piattaforma.

Il primo caso confermato pubblicamente è stato quello dell’Università di Nottingham. Secondo gli aggressori, attraverso PeopleSoft avrebbero rubato 40 GB di dati personali e registrazioni di pagamento di centinaia di migliaia di studenti ed ex studenti. L’università è apparsa sul loro sito di fuga di dati martedì 9 giugno e i file rubati sono stati pubblicati più tardi sempre in quel giorno.

Google Threat Intelligence ha confermato l’attività associandola allo sfruttamento dell CVE-2026-35273, dal 27 maggio al 9 giugno. L’azienda ha informato che più di 100 organizzazioni in tutto il mondo, i cui indirizzi IP corrispondevano a punti di accesso potenzialmente vulnerabili erano a rischio. La maggior parte di queste organizzazioni si trova negli Stati Uniti e il 68% opera nel settore dell’istruzione superiore.

PeopleSoft è utilizzato da grandi aziende e istituzioni per gestire le risorse umane, le buste paga, la fatturazione, la catena di fornitura e i registri degli studenti. La vulnerabilità CVE-2026-35273 consente a un utente malintenzionato remoto non autenticato con accesso alla rete tramite HTTP di compromettere PeopleSoft Enterprise PeopleTools e ottenere il pieno controllo della piattaforma.

L’Università di Nottingham ha confermato l’incidente il giorno successivo alla pubblicazione dei dati e Oracle ha rilasciato avviso di sicurezza non pianificato.

Al momento della pubblicazione, non è chiaro se Oracle abbia rilasciato una patch per risolvere questa specifica vulnerabilità. Il portavoce di Mandiant Charles Carmakal ha affermato che Oracle ha già pubblicato mitigazioni e le correzioni dovrebbero arrivare più tardi.

Prima del rilascio dell’aggiornamento completo, le organizzazioni dovrebbero applicare urgentemente le raccomandazioni di Oracle, verificare l’accessibilità di PeopleSoft da reti esterne, limitare l’accesso HTTP alla piattaforma, esaminare i log per il periodo dal 27 maggio al 9 giugno e controllare separatamente i sistemi in cui sono archiviati i dati personali e di pagamento.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.