Die Angreifergruppe ShinyHunters hat eine kritische Remote-Code-Execution-Schwachstelle in der Environment-Management-Komponente von Oracle PeopleSoft als Zero-Day ausgenutzt. Die Angriffe begannen bereits am 27. Mai und damit vor der Veröffentlichung des Oracle-Advisorys vom 10. Juni.
Die als CVE-2026-35273 geführte Lücke setzt weder eine Authentifizierung noch eine Nutzerinteraktion voraus und erhielt einen CVSS-Score von 9,8. Nach Informationen von Mandiant nutzten die Angreifer offen erreichbare Staging-Server und setzten für die Kommunikation mit dem als azurenetfiles.net getarnten C2-Server MeshCentral-Remote-Management-Agents ein. Für Lateral Movement verwendeten sie ein Skript namens [victim]_fanout.sh, das interne Hosts aus /etc/hosts auslas und per SSH eine fest codierte Liste von Zugangsdaten durchprobierte. Auf kompromittierten Systemen legten sie eine Datei mit dem Titel README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT ab und übertrugen exfiltrierte Daten auf einen Server, der mit dem öffentlichen Mirror der Dataleak-Website von ShinyHunters in Verbindung steht.
Mandiant informierte mehr als 100 Organisationen mit exponierten Endpunkten, überwiegend im Bildungssektor. Lässt sich ein System nicht patchen, empfiehlt Oracle, den Environment-Management-Hub-Dienst in Multi-Server-Setups zu deaktivieren oder die PSEMHUB-Anwendung in Single-Server-Konfigurationen vollständig zu entfernen.
Was jetzt zu tun ist:
- Betroffenheit prüfen und nach den genannten Indikatoren suchen
- Umgehend patchen und PeopleSoft-Systeme nicht öffentlich exponieren
Hub-Dienst deaktivieren oder PSEMHUB-Anwendung entfernen,
falls kein Patch möglich ist
PRÄVENTION & DETEKTION
Mit einer leistungsfähigen EDR-Lösung erkennen Sie Angriffe frühzeitig, stoppen gezielt die Ausbreitung und verhindern effektiv den Datenabfluss. Gleichzeitig können betroffene Systeme sofort isoliert werden, sodass Schäden minimiert und Ihre Geschäftskontinuität gesichert bleibt.
Autor: Michael Niers
