Auf den Punkt: Eine unkorrekte Authentifizierung in Oracle PeopleSoft Enterprise PeopleTools (CVE-2026-35273, CVSS 9.8) ermöglichte Fernzugriff ohne Authentisierung und betraf Versionen 8.61 und 8.62.
Die Hackergruppe ShinyHunters exploitiert eine kritische Zero-Day-Schwachstelle in Oracle PeopleSoft und hat nach eigenen Aussagen mehr als 100 Organisationen über rund 300 verwundbare Instanzen kompromittiert. Die Angriffe fanden bereits ab Mai 2026 statt, bevor Oracle das Sicherheitsloch offiziell bekannt machte.
Die Schwachstelle CVE-2026-35273 betrifft Oracle PeopleSoft Enterprise PeopleTools in den Versionen 8.61 und 8.62 sowie möglicherweise ältere, nicht mehr unterstützte Versionen. Sie weist eine CVSS-Bewertung von 9.8 auf und ermöglicht Fernzugriff ohne vorherige Authentifizierung über das HTTP-Protokoll, wodurch Angreifer Schadcode ausführen und vollständige Kontrolle über Server erlangen können.
Nach Angaben von Google Mandiant begannen die Angriffe am 27. Mai 2026 und liefen mindestens bis zum 9. Juni 2026, also vor der Notfallwarnung durch Oracle am 10. Juni. Etwa 68 Prozent der über 100 angegriffenen Organisationen stammen aus dem Hochschulsektor, überwiegend in den USA. PeopleSoft wird von großen Unternehmen und Institutionen zur Verwaltung von Personalverwaltung, Gehaltsabrechnungen, Lieferketten und Studierendendaten eingesetzt.
Die University of Nottingham bestätigte unbefugten Zugriff auf ihr Studentenregistersystem. ShinyHunters veröffentlichte etwa 40 Gigabyte gestohlener Daten im Internet, nachdem die Universität Lösegeldforderungen ablehnte. Die Daten enthalten nach Angaben von Have I Been Pwned etwa 455.000 eindeutige E-Mail-Adressen von Studenten und Alumni sowie Klarnamen, Telefonnummern, Postadressen, Passnummern und sensible Informationen zu Herkunft und Behinderungen.
Oracle hat vorläufige Schutzmaßnahmen bereitgestellt. Der Hersteller empfiehlt Administratoren dringend, den Dienst Environment Management Hub zu deaktivieren oder den externen Zugriff auf betroffene Schnittstellen per Firewall zu blockieren, bis vollständige Updates verfügbar sind.
Quelle: www.it-daily.net · Erschienen 12. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.