Kritische Zero-Day-Lücke in Oracle PeopleSoft: ShinyHunters stiehlt Daten und erpresst Hochschulen

Eine der gefährlichsten Lücken des Jahres: CVE-2026-35273 in Oracle PeopleSoft

Seit Ende Mai 2024 nutzen Cyberkriminelle eine bisher unbekannte Schwachstelle in Oracle PeopleSoft aus, um gezielt Daten zu stehlen und Unternehmen zu erpressen. Die als CVE-2026-35273 bezeichnete Lücke wird mit einem Schweregrad von 9,8 auf der CVSS-Skala bewertet – eine der höchsten Bewertungen des Jahres. Bei dem Angriff handelt es sich um eine Server-side Request Forgery (SSRF), die es Angreifern ermöglicht, Anfragen von einem kompromittierten Server an interne Systeme der Zielorganisation zu senden. Diese Art von Schwachstelle ist besonders tückisch, da sie keine direkte Interaktion mit dem Opfer erfordert und sich über das Netzwerk ausnutzen lässt.

Oracle bestätigte die Existenz der Lücke und veröffentlichte eine temporäre Mitigationsmaßnahme, während an einem vollständigen Patch gearbeitet wird. Die Verzögerung bei der Bereitstellung eines offiziellen Patches gibt Angreifern jedoch Zeit, die Schwachstelle weiter auszunutzen. Die Sicherheitsfirma Mandiant, die zur Google-Gruppe gehört, dokumentierte den Angriff und bestätigte, dass die Gruppe ShinyHunters die Lücke seit dem 27. Mai aktiv nutzt. Die Angriffe richteten sich bisher gegen rund 300 Endpunkte in etwa 100 Organisationen, wobei etwa 68 Prozent dieser Organisationen dem Hochschulbereich angehören. Dies deutet darauf hin, dass Bildungseinrichtungen besonders im Visier stehen.

ShinyHunters: Eine Gruppe mit klarer Strategie

Die Ransomware-Gruppe ShinyHunters hat sich in den letzten Jahren einen Namen als eine der aktivsten Cybererpresser-Gruppen gemacht. Im Gegensatz zu vielen anderen Gruppen setzt ShinyHunters nicht nur auf klassische Ransomware-Angriffe, sondern kombiniert Datenverschlüsselung mit gezielter Datenexfiltration und anschließender Erpressung. Die Gruppe nutzt die gestohlenen Daten, um Druck auf die Opfer auszuüben: Entweder wird das Lösegeld gezahlt, oder die Daten werden im Darknet veröffentlicht. Diese Doppelstrategie hat sich in der Vergangenheit als besonders effektiv erwiesen, da viele Unternehmen selbst bei vorhandenen Backups gezwungen sind, zu zahlen, um die Veröffentlichung sensibler Daten zu verhindern.

Im aktuellen Fall hat ShinyHunters bereits erste Opfer bestätigt und Datenmengen im Gigabyte-Bereich veröffentlicht. Ein besonders prominentes Beispiel ist die Universität Nottingham, die bestätigte, dass ein „signifikanter“ Teil der Studentendaten gestohlen wurde. Die Gruppe behauptet, weitere Hochschulen in Europa und Nordamerika ins Visier genommen zu haben. Die Angriffe zeigen, dass ShinyHunters gezielt nach Organisationen sucht, die über wertvolle und sensible Daten verfügen – insbesondere in Bereichen wie Bildung, Forschung und Verwaltung, wo der Schutz personenbezogener Daten von hoher Bedeutung ist.

Wie die SSRF-Lücke funktioniert und warum sie so gefährlich ist

Eine Server-side Request Forgery (SSRF) ermöglicht es Angreifern, einen Server dazu zu bringen, Anfragen an interne oder externe Systeme zu senden, die er normalerweise nicht erreichen würde. Im Fall von Oracle PeopleSoft kann ein Angreifer über diese Lücke gezielt Anfragen an interne Datenbanken, Authentifizierungssysteme oder sogar Cloud-Dienste der betroffenen Organisation senden. Da die Anfragen von einem vertrauenswürdigen Server stammen, werden sie oft nicht blockiert, was den Angreifern ermöglicht, sensible Daten abzurufen oder sogar administrative Zugriffe zu erlangen.

Die Ausnutzung der SSRF-Lücke erfordert in der Regel keine tiefgreifenden technischen Kenntnisse. Viele Angreifer nutzen automatisierte Tools und Skripte, um potenziell verwundbare Systeme zu scannen und auszunutzen. Die Tatsache, dass ShinyHunters die Lücke bereits seit mehreren Wochen aktiv nutzt, deutet darauf hin, dass die Gruppe über ein gut organisiertes Netzwerk von Scan- und Exploit-Tools verfügt. Für betroffene Organisationen bedeutet dies, dass die Zeit drängt: Je länger die Lücke offen bleibt, desto höher ist die Wahrscheinlichkeit, dass weitere Daten gestohlen und für Erpressungen genutzt werden.

Betroffene Sektoren: Warum Hochschulen besonders gefährdet sind

Die bisher bekannten Opfer der SSRF-Lücke in Oracle PeopleSoft konzentrieren sich zu etwa zwei Dritteln auf den Hochschulsektor. Dies ist kein Zufall, sondern Ergebnis gezielter Recherche durch die Angreifer. Hochschulen und Universitäten verfügen über eine Vielzahl sensibler Daten, darunter personenbezogene Informationen von Studierenden und Mitarbeitenden, Forschungsdaten, geistiges Eigentum sowie administrative Daten. Diese Daten sind nicht nur für Erpressungszwecke wertvoll, sondern können auch auf dem Schwarzmarkt verkauft oder für gezielte Angriffe auf Partnerinstitutionen genutzt werden.

Ein weiterer Grund für die hohe Anfälligkeit von Hochschulen liegt in ihren oft komplexen IT-Infrastrukturen. Viele Universitäten betreiben veraltete Systeme, die nicht regelmäßig aktualisiert werden, oder nutzen veraltete Versionen von Oracle PeopleSoft. Hinzu kommt, dass Bildungseinrichtungen häufig über begrenzte Budgets und Personalressourcen für IT-Sicherheit verfügen, was die Reaktion auf solche Vorfälle erschwert. Die Kombination aus wertvollen Daten und unzureichenden Sicherheitsmaßnahmen macht sie zu einem attraktiven Ziel für Cyberkriminelle.

Oracle reagiert – aber der Patch kommt zu spät

Oracle hat die Existenz der SSRF-Lücke bestätigt und eine temporäre Mitigationsmaßnahme veröffentlicht, um betroffene Organisationen zu schützen. Diese Mitigation soll verhindern, dass Angreifer die Lücke weiterhin ausnutzen können, bis ein vollständiger Patch verfügbar ist. Allerdings gibt es bisher keine offiziellen Angaben dazu, wann mit einem vollständigen Patch zu rechnen ist. Die Verzögerung bei der Bereitstellung eines Patches ist ein bekanntes Problem in der Softwarebranche und gibt Angreifern wertvolle Zeit, um ihre Angriffe zu intensivieren.

Für betroffene Organisationen bedeutet dies, dass sie selbst aktiv werden müssen, um sich zu schützen. Neben der Implementierung der von Oracle bereitgestellten Mitigationsmaßnahmen sollten sie ihre Systeme auf Anzeichen eines Angriffs überprüfen und gegebenenfalls externe Sicherheitsberatung hinzuziehen. Die Tatsache, dass ShinyHunters bereits Lösegeldforderungen verschickt hat, zeigt, dass die Zeit für eine reine Prävention möglicherweise bereits abgelaufen ist. Organisationen, die bereits kompromittiert wurden, müssen nun entscheiden, ob sie zahlen oder versuchen, die Daten anderweitig zu sichern.

Was betroffene Organisationen jetzt tun müssen

Organisationen, die Oracle PeopleSoft einsetzen, sollten umgehend prüfen, ob ihre Systeme von der SSRF-Lücke betroffen sind. Der erste Schritt besteht darin, die von Oracle bereitgestellte Mitigationsmaßnahme zu implementieren. Diese sollte in der Regel darin bestehen, den Zugriff auf interne Systeme einzuschränken oder bestimmte Funktionen von PeopleSoft zu deaktivieren, bis ein Patch verfügbar ist. Anschließend ist es wichtig, die Systeme auf Anzeichen eines Angriffs zu überprüfen, insbesondere auf ungewöhnliche Netzwerkaktivitäten oder unautorisierte Zugriffe auf Datenbanken.

Falls bereits ein Verdacht auf Kompromittierung besteht, sollten Organisationen umgehend eine forensische Untersuchung einleiten, um das Ausmaß des Angriffs zu ermitteln. Dies umfasst die Überprüfung von Log-Dateien, die Analyse von Netzwerkverkehr und die Identifizierung möglicherweise gestohlener Daten. Parallel dazu sollten betroffene Organisationen ihre Mitarbeitenden und Partner über den Vorfall informieren und gegebenenfalls rechtliche Schritte einleiten. In einigen Fällen kann es sinnvoll sein, eine professionelle Incident-Response-Firma hinzuzuziehen, um den Vorfall zu bewältigen und weitere Schäden zu verhindern.

Langfristige Folgen: Vertrauensverlust und regulatorische Konsequenzen

Die Folgen eines solchen Angriffs gehen weit über die unmittelbaren finanziellen Verluste hinaus. Für betroffene Hochschulen und Unternehmen bedeutet der Verlust sensibler Daten einen erheblichen Vertrauensverlust bei Studierenden, Mitarbeitenden und Partnern. Besonders im Bildungssektor kann dies langfristige Auswirkungen auf die Reputation einer Institution haben, was sich in sinkenden Studierendenzahlen oder einer geringeren Bereitschaft von Unternehmen zur Zusammenarbeit äußern kann.

Darüber hinaus drohen rechtliche Konsequenzen, insbesondere wenn personenbezogene Daten im Sinne der DSGVO betroffen sind. Organisationen, die nachweisen können, dass sie angemessene Sicherheitsmaßnahmen ergriffen haben, können zwar eine Strafe vermeiden, doch die Offenlegung eines Vorfalls allein kann bereits zu Bußgeldern führen. Die Kombination aus finanziellen Verlusten, Reputationsschäden und regulatorischen Konsequenzen macht solche Angriffe zu einer existenziellen Bedrohung für betroffene Organisationen.

Schutzmaßnahmen für die Zukunft: Wie sich Organisationen besser wappnen können

Um sich vor ähnlichen Angriffen zu schützen, sollten Organisationen ihre IT-Sicherheitsstrategien überdenken und gezielt in den Schutz ihrer Systeme investieren. Ein wichtiger Schritt ist die regelmäßige Aktualisierung aller Softwarekomponenten, insbesondere von kritischen Systemen wie Oracle PeopleSoft. Viele Angriffe nutzen veraltete Versionen aus, für die keine Sicherheitsupdates mehr bereitgestellt werden. Zudem sollten Organisationen ihre Netzwerke segmentieren, um die Ausbreitung von Angriffen zu erschweren.

Ein weiterer wichtiger Aspekt ist die Schulung von Mitarbeitenden im Umgang mit Phishing-E-Mails und anderen Social-Engineering-Angriffen. Viele Angriffe beginnen mit einer einfachen E-Mail, die Mitarbeitende dazu verleitet, Zugangsdaten preiszugeben oder schädliche Links zu öffnen. Durch regelmäßige Schulungen und Sensibilisierungskampagnen können Organisationen das Risiko solcher Angriffe deutlich reduzieren. Schließlich sollten sie in moderne Sicherheitslösungen wie Intrusion-Detection-Systeme (IDS) und Endpoint-Protection-Plattformen investieren, die verdächtige Aktivitäten frühzeitig erkennen und blockieren können.

Fazit: Ein Weckruf für die IT-Sicherheit im Hochschul- und Unternehmensbereich

Der aktuelle Angriff auf Oracle PeopleSoft durch die Gruppe ShinyHunters ist ein weiterer Beweis dafür, dass Cyberkriminelle ständig nach neuen Schwachstellen suchen und diese gezielt ausnutzen. Die Kombination aus einer kritischen SSRF-Lücke, gezielten Erpressungsversuchen und der Konzentration auf den Hochschulsektor zeigt, wie professionell und strategisch solche Angriffe heute durchgeführt werden. Für betroffene Organisationen bedeutet dies, dass sie schnell handeln müssen, um weitere Schäden zu verhindern.

Die Verantwortung liegt jedoch nicht nur bei den einzelnen Organisationen, sondern auch bei den Softwareherstellern. Oracle muss sicherstellen, dass kritische Schwachstellen umgehend behoben werden und dass betroffene Kunden zeitnah über Risiken und Schutzmaßnahmen informiert werden. Gleichzeitig müssen Bildungseinrichtungen und Unternehmen ihre Sicherheitsbudgets erhöhen und ihre IT-Infrastrukturen modernisieren, um solchen Angriffen besser standhalten zu können. Nur durch eine Kombination aus schnellen Reaktionen, langfristigen Investitionen und einer Kultur der Sicherheit können Organisationen sich vor den immer raffinierteren Methoden der Cyberkriminellen schützen.