Datenschutz & Sicherheit
Cybergang ShinyHunters attackiert Oracle-PeopleSoft-Schwachstelle | heise online
Am Donnerstag vergangener Woche wurde eine kritische Codeschmuggel-Lücke in Oracle PeopleSoft bekannt. Die kriminelle Online-Bande ShinyHunters greift die Schwachstelle offenbar bereits an, warnen IT-Forscher. Auch die US-amerikanische IT-Sicherheitsbehörde CISA hat die Lücke in den „Known-Exploited-Vulnerabilities“-Katalog aufgenommen.
Weiterlesen nach der Anzeige
Oracle hatte außer der Reihe der üblichen vierteljährlichen „Critical Patch Updates“ (CPU) sowie der neuen, in den Monaten dazwischen eingeschobenen „Critical Security Patch Updates“ (CSPU) vor der Sicherheitslücke gewarnt. Sie betrifft demnach Oracle PeopleSoft PeopleTools und möglicherweise Oracle PeopleSoft Enterprise Applications. Details sind unklar, jedoch können Angreifer aus dem Netz ohne vorherige Anmeldung mit HTTP-Paketen Schadcode einschleusen und ausführen (CVE-2026-35273, CVSS 9.8, Risiko „kritisch“). Betroffen sind die Versionen PeopleSoft Enterprise PeopleTools 8.61 und 8.62, Updates verlinkt Oracle in der Sicherheitsmitteilung, sie sind nach Anmeldung zugänglich.
Erpressungskampagne setzt auf Oracle-Schwachstelle
IT-Forscher von Googles Tochterunternehmen Mandiant haben eine Analyse zu den beobachteten Angriffen veröffentlicht. Demnach missbraucht die Cybergang ShinyHunters, auch als UNC6240 geführt, die Schwachstelle in Oracle PeopleSoft, um Systeme zu kompromittieren und die Betreiber um Lösegeld zu erpressen. Sie ziele auf Environment-Management-Hub-Endpoints (PSEMHUB). Die Angriffe laufen bereits seit dem 27. Mai 2026, ergänzen die IT-Forscher, es handelt sich also um den Missbrauch einer Zero-Day-Lücke.
Die Mandiant-Analysten haben eigenen Angaben zufolge weltweit mehr als 100 Organisationen kontaktiert, deren IP-Adressen mit verwundbaren Endpunkten korrelieren; ein Großteil liegt in den USA, etwas mehr als zwei Drittel davon im höheren Bildungswesen. Die IT-Forscher erörtern die Funde nach den Angriffen im Detail. Sie leiten daraus auch Gegenmaßnahmen ab, etwa die Zugriffsbeschränkung auf die Endpunkte „/PSEMHUB/*“, insbesondere „PSEMHUB/hub“ und „/PSIGW/HttpListeningConnector“ auf interne IP-Adressen – sofern das Deaktivieren des EMHub-Dienstes nicht in Frage kommt. Beschränkungen mit Web-Application-Firewalls seien unzureichend, da die sich überwinden ließen, erklären die IT-Forscher weiter. Admins sollen zudem Protokolldateien und Endpunkte überwachen und auf ausgehenden Traffic auf Port 445 achten. IT-Admins finden in der Analyse noch weiterreichende Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC), anhand derer sie ihre Systeme überprüfen können.
(dmk)