Auf den Punkt: CVE-2026-35273 in Oracle PeopleSoft wurde zur Erpressung von über 100 Organisationen genutzt; Google identifizierte 68 % der Ziele im Hochschulsektor mit gestohlenen Daten im Umfang von über 40 GB.
Eine kritische Ferncode-Ausführungslücke (CVE-2026-35273) in Oracles PeopleSoft-Komponente wurde von ShinyHunters zwischen Mai und Juni 2026 zur Erpressung überwiegend von Hochschuleinrichtungen missbraucht. Google Cloud warnte über 100 Organisationen vor Exposition; 68 % der betroffenen Ziele gehörten dem Hochschulsektor an.
Die kritische Sicherheitslücke CVE-2026-35273 in der Environment-Management-Komponente von Oracle PeopleSoft (CVSS 9.8) ermöglicht unauthentifizierte Ferncode-Ausführung auf internetgestützten Systemen. Oracle gab die Warnung am 10. Juni 2026 ab, nachdem Google Cloud bereits zwischen 27. Mai und 9. Juni aktive Ausnutzungen beobachtet hatte. Die Schwachstelle betrifft PeopleSoft Enterprise PeopleTools in den Versionen 8.61 und 8.62; Mitigationen stehen nur für unterstützte Versionen zur Verfügung.
Die Angreifer exploitierten die Lücke zum initialen Zugriff und nutzten anschließend eine manipulierte Version der Open-Source-Plattform MeshCentral, getarnt als Microsoft-Azure-Services, um Persistenz zu schaffen. Kommunikation erfolgte mit einem Command-&-Control-Server unter wss://azurenetfiles.net:443/agent.ashx. ShinyHunters (oder unter diesem Namen agierende Gruppen) veröffentlichten am 9. Juni Daten im eigenen Data-Leak-Site, darunter über 40 GB Abrechnungs- und Zahlungsunterlagen, Kreditkartendaten und Campusportal-Exporte. In einer weiteren Mitteilung vom 11. Juni wurde Fristsetzung für Lösegeldzahlungen angedroht.
Google Cloud warnte mehr als 100 Organisationen, deren internetgestützte Systeme exponiert waren. Während einige Organisationen die Aktivitäten erfolgreich blockierten oder Lücken schlossen, erlitten andere Kompromittierungen mit Datenlecks. Operationsfehler der Angreifer — exponierte Verzeichnisse mit Staging-Materialien, MeshCentral-Agenten und Penetrationsskripten — halfen Sicherheitsforschern, die Kampagne abzubilden.
Für CISOs unterstreicht der Vorfall die Notwendigkeit, ERP-Systeme wie PeopleSoft gerade im Hinblick auf automatisierte Angriffskampagnen neu zu bewerten. Patches für CVE-2026-35273 sollten mit hoher Priorität eingespielt werden; älteren, nicht unterstützten Versionen wird ein Upgrade empfohlen. Die breite Exposition von Hochschuleinrichtungen deutet auf unzureichende Internetsegmentierung und Patchzyklen hin.
Quelle: www.csoonline.com · Erschienen 12. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.