ShinyHunters nutzt Oracle-PeopleSoft-Zero-Day für Angriffe auf Universitäten – was das bedeutet

Eine neue Angriffswelle zeigt, wie schnell sich Zero-Day-Lücken in Unternehmenssoftware zu globalen Sicherheitskrisen auswachsen können. Die Gruppe ShinyHunters hat eine kritische, ungeschützte Schwachstelle in Oracle PeopleSoft ausgenutzt, um in Netzwerke einzudringen, sensible Daten zu stehlen und Lösegeldforderungen zu stellen. Besonders betroffen sind Universitäten, deren IT-Infrastrukturen oft komplexe Legacy-Systeme betreiben und seltener sofortige Sicherheitsupdates erhalten. Die Attacken fanden zwischen dem 27. Mai und dem 9. Juni statt, doch erst am 10. Juni veröffentlichte Oracle eine offizielle Warnung – die Schwachstelle war also während der gesamten Angriffsphase ein unentdecktes Risiko.

Die Sicherheitslücke mit der Bezeichnung CVE-2026-35273 betrifft die Oracle PeopleSoft Enterprise PeopleTools und wurde mit einem CVSS-Wert von 9,8 als kritisch eingestuft. Entscheidend ist, dass Angreifer diese Schwachstelle ohne Benutzername, Passwort oder weitere Authentifizierung ausnutzen können. Es reicht ein Netzwerkzugriff über HTTP, um die Kontrolle über den Server zu übernehmen. Besonders exponiert sind Systeme, die den Environment Management Hub (PSEMHUB) über das Internet erreichbar machen. Wer solche Endpunkte betreibt, sollte sie umgehend isolieren oder zumindest hinter eine Firewall verlagern, um den Zugriff einzuschränken.

Die Schwachstelle befindet sich im Komponentenbereich „Updates Environment Management“, einem zentralen Modul für die Verwaltung von Softwareumgebungen. Oracle gibt an, dass die betroffenen Versionen PeopleTools 8.61 und 8.62 sind, warnt aber auch, dass ältere, nicht mehr unterstützte Versionen wahrscheinlich ebenfalls anfällig sind. Die Schwachstelle wurde von Forschern der TrendAI Zero Day Initiative und TrendAI Research entdeckt und an Oracle gemeldet. Während Oracle selbst noch keine offizielle Bestätigung veröffentlicht hat, ob die Schwachstelle bereits ausgenutzt wurde, bestätigte Charles Carmakal, CTO von Mandiant, dass die Gruppe ShinyHunters die Lücke aktiv missbraucht.

Wie ShinyHunters die Schwachstelle ausnutzte – technische Details der Angriffe

Die Angriffe folgten einem typischen Muster moderner Ransomware-Gruppen: Zuerst drangen die Angreifer über die ungeschützte Schnittstelle in die Systeme ein, installierten dann Hintertüren und bewegten sich lateral durch das Netzwerk, um möglichst viele Daten zu sammeln. Besonders aufschlussreich sind die Spuren, die die Angreifer selbst hinterließen. Ein Sicherheitsforscher mit dem Pseudonym @nahamike01 entdeckte öffentlich zugängliche Verzeichnisse, die von den Angreifern genutzt wurden, um ihre Werkzeuge und gestohlene Daten abzulegen.

Mandiant analysierte fünf aufeinanderfolgende IP-Adressen, auf denen Python-Server über Port 8888 liefen und einfache HTTP-Server für den Dateiaustausch betrieben. Diese Server enthielten unter anderem eine geteilte .bash_history-Datei, die Einblick in die Befehle der Angreifer gab. Zudem fanden sich darin getarnte Remote-Management-Agenten, die als Microsoft-Azure-Binärdateien getarnt waren und tatsächlich MeshCentral-Clients darstellten. Diese Agenten kommunizierten mit einem Command-and-Control-Server unter der Domain azurenetfiles.net, die gezielt nach Azure NetApp Files klingt, um Vertrauen zu erwecken.

Ein weiteres Werkzeug war ein Skript mit dem Namen [victim]_fanout.sh, das über SSH lateral durch das Netzwerk sprang. Das Skript versuchte, sich über eine vordefinierte Liste von Benutzernamen und Passwörtern auf internen Hosts anzumelden, die aus der /etc/hosts-Datei ausgelesen wurden. Nach erfolgreicher Kompromittierung hinterließ das Skript eine Datei namens README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT in PeopleSoft-Verzeichnissen – eine klare psychologische Kriegführung, um den Opfern den Ernst der Lage vor Augen zu führen. Die Angreifer komprimierten die gestohlenen Daten mit zstd und luden sie über SSH auf einen Server hoch, der auch eine öffentliche Mirror-Seite der ShinyHunters-Leak-Site hostete.

Warum Oracle-PeopleSoft-Systeme besonders gefährdet sind

Oracle PeopleSoft ist eine weit verbreitete Unternehmenssoftware, die vor allem in Bildungseinrichtungen, Behörden und großen Unternehmen im Einsatz ist. Die Komplexität der Software und ihre oft langlebigen Installationen machen sie zu einem attraktiven Ziel für Angreifer. Viele Organisationen nutzen veraltete Versionen von PeopleSoft, die nicht mehr durch Sicherheitsupdates unterstützt werden. Selbst wenn aktuelle Versionen im Einsatz sind, verzögern sich Patches häufig aufgrund der aufwendigen Test- und Freigabeprozesse in Unternehmensumgebungen.

Ein weiteres Problem ist die Architektur von PeopleSoft: Der Environment Management Hub ist oft als öffentlich erreichbare Komponente konfiguriert, um Remote-Administratoren den Zugriff zu ermöglichen. Diese Praxis ist zwar bequem, erhöht aber das Risiko erheblich. Angreifer müssen nicht einmal in das interne Netzwerk eindringen – ein einfacher HTTP-Zugriff über das Internet reicht aus, um die Kontrolle zu übernehmen. Oracle selbst räumt ein, dass auch ältere, nicht unterstützte Versionen wahrscheinlich anfällig sind, was die Lage für viele Organisationen noch verschärft.

Die Kombination aus kritischer Schwachstelle, fehlender Authentifizierung und exponierten Schnittstellen macht PeopleSoft zu einem idealen Einfallstor für Ransomware-Gruppen wie ShinyHunters. Besonders betroffen sind Universitäten, die oft über begrenzte IT-Ressourcen verfügen und deren Systeme häufig von Studierenden und externen Partnern genutzt werden. Die Angriffe zeigen, wie wichtig es ist, auch scheinbar interne Systeme nicht ungeschützt im Internet zu exponieren.

Die Rolle von Mandiant und die öffentliche Enthüllung der Spuren

Mandiant, eine führende Einheit für Incident Response und Bedrohungsanalyse, spielte eine zentrale Rolle bei der Aufklärung der Angriffe. Das Unternehmen identifizierte die Gruppe ShinyHunters als Verantwortliche und konnte die Aktivitäten auf den Zeitraum zwischen dem 27. Mai und dem 9. Juni eingrenzen. Die Bestätigung von Charles Carmakal, CTO von Mandiant, dass die Schwachstelle aktiv ausgenutzt wurde, unterstreicht die Dringlichkeit, mit der betroffene Organisationen handeln müssen.

Besonders bemerkenswert ist, dass die Angreifer ihre eigenen Server und Tools so exponiert zurückließen, dass Sicherheitsforscher wie @nahamike01 die Angriffe öffentlich dokumentieren konnten. Die Analyse der IP-Adressen und Server zeigte nicht nur die verwendeten Werkzeuge, sondern auch die Methoden der lateralen Bewegung und Datensammlung. Die Domain azurenetfiles.net, die als Command-and-Control-Server fungierte, war gezielt so gewählt, dass sie nach einem legitimen Azure-Dienst klingt – ein klassisches Social-Engineering-Taktik, um die Entdeckung zu verzögern.

Die öffentliche Enthüllung der Spuren hat zwar dazu geführt, dass die Angriffe detailliert analysiert werden konnten, doch sie wirft auch Fragen über die Sicherheit der eingesetzten Tools auf. Die Verwendung von MeshCentral-Agenten, die als Azure-Binärdateien getarnt waren, zeigt, wie Angreifer legitime Software missbrauchen, um ihre Aktivitäten zu verschleiern. Für Unternehmen bedeutet das, dass sie nicht nur ihre eigenen Systeme absichern müssen, sondern auch die Integrität der eingesetzten Tools regelmäßig überprüfen sollten.

Was betroffene Organisationen jetzt tun müssen – Sofortmaßnahmen und langfristige Strategien

Für Organisationen, die Oracle PeopleSoft einsetzen, ist jetzt dringender Handlungsbedarf gegeben. Der erste Schritt besteht darin, den Environment Management Hub und alle damit verbundenen öffentlich erreichbaren Endpunkte sofort zu sperren oder zumindest hinter eine Firewall zu verlagern. Da die Schwachstelle keine Authentifizierung erfordert, ist die Expositionsfläche der entscheidende Faktor. Wer den Hub nicht zwingend für Remote-Administration benötigt, sollte ihn komplett vom Internet trennen.

Oracle hat zwar ein Patch bereitgestellt, doch die Verfügbarkeit ist unklar, da der Zugriff auf die offiziellen Dokumente einen Support-Login erfordert. Betroffene sollten sich direkt an Oracle wenden oder die offiziellen Support-Kanäle nutzen, um Informationen über die Verfügbarkeit von Patches für ihre spezifische Version zu erhalten. Gleichzeitig empfiehlt es sich, eine umfassende Überprüfung der Systeme durchzuführen, um mögliche bereits erfolgte Kompromittierungen zu erkennen. Mandiant hat bereits mehr als 100 Organisationen benachrichtigt, deren IP-Adressen in den Angriffen aufgetaucht sind – eine solche Benachrichtigung sollte als Warnsignal dienen.

Langfristig müssen Unternehmen ihre Sicherheitsstrategie überdenken. Dazu gehört die regelmäßige Überprüfung der Expositionsfläche von Unternehmensanwendungen, insbesondere solcher, die sensible Daten verarbeiten. Der Einsatz von Web Application Firewalls (WAFs) kann helfen, bekannte Angriffsvektoren zu blockieren, auch wenn noch kein Patch verfügbar ist. Zudem sollten Unternehmen ihre Incident-Response-Pläne aktualisieren und sicherstellen, dass sie in der Lage sind, schnell auf neue Bedrohungen zu reagieren. Die Angriffe von ShinyHunters zeigen, dass Ransomware-Gruppen zunehmend komplexe und gezielte Methoden einsetzen, um ihre Ziele zu erreichen.

Die psychologische und reputative Dimension der Angriffe

Neben den technischen und operativen Folgen haben die Angriffe auch eine starke psychologische Komponente. Die Hinterlegung von Dateien mit Namen wie README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT ist kein Zufall, sondern eine gezielte Einschüchterungstaktik. Die Angreifer wollen nicht nur Daten stehlen, sondern auch den Opfern das Gefühl vermitteln, dass sie vollständig kontrolliert werden. Für Universitäten, die oft eine enge Bindung zu Studierenden und Partnern haben, kann ein solcher Vorfall das Vertrauen in die Institution nachhaltig beschädigen.

Die öffentliche Bloßstellung der Daten durch ShinyHunters ist ein weiteres Risiko. Viele Ransomware-Gruppen drohen zwar mit der Veröffentlichung gestohlener Daten, doch in der Praxis führen sie diese Drohungen oft aus, um zusätzlichen Druck auf die Opfer auszuüben. Für betroffene Universitäten bedeutet das nicht nur den Verlust sensibler Forschungsdaten oder personenbezogener Informationen, sondern auch mögliche rechtliche Konsequenzen, insbesondere wenn Datenschutzbestimmungen wie die DSGVO verletzt wurden.

Die reputativen Schäden können langfristige Auswirkungen haben, etwa auf die Rekrutierung von Studierenden oder die Zusammenarbeit mit Industriepartnern. Universitäten, die als unsicher gelten, könnten Schwierigkeiten haben, Drittmittel einzuwerben oder Kooperationen einzugehen. Daher ist es entscheidend, dass betroffene Organisationen nicht nur technische Maßnahmen ergreifen, sondern auch eine transparente Kommunikation mit allen Stakeholdern pflegen, um das Vertrauen wiederherzustellen.

Ausblick: Was kommt als Nächstes – und was Unternehmen beobachten sollten

Die Angriffe von ShinyHunters markieren wahrscheinlich nur den Beginn einer größeren Welle von Ausnutzungen der CVE-2026-35273-Schwachstelle. Da viele Organisationen ihre Systeme noch nicht gepatcht haben und die Schwachstelle weiterhin exponiert ist, könnten weitere Gruppen versuchen, die Lücke auszunutzen. Besonders gefährdet sind dabei Systeme, die nicht regelmäßig überwacht oder aktualisiert werden.

Unternehmen sollten die Entwicklungen genau beobachten und insbesondere auf neue Advisories von Oracle sowie auf Hinweise von Sicherheitsforschern achten. Die Zusammenarbeit mit Incident-Response-Teams wie Mandiant kann helfen, frühzeitig auf neue Bedrohungen zu reagieren. Zudem sollten Organisationen ihre Sicherheitsaudits verschärfen und gezielt nach Anzeichen für laterale Bewegung oder ungewöhnliche SSH-Verbindungen suchen.

Ein weiterer wichtiger Aspekt ist die Überprüfung der eingesetzten Remote-Management-Tools. Da Angreifer legitime Software wie MeshCentral missbrauchen, um ihre Aktivitäten zu verschleiern, sollten Unternehmen sicherstellen, dass alle verwendeten Tools authentisch und nicht manipuliert sind. Regelmäßige Überprüfungen der Binärdateien und eine strenge Zugriffskontrolle können dazu beitragen, solche Angriffe zu verhindern.

Praktische Checkliste für betroffene Unternehmen und IT-Teams

Für IT-Verantwortliche und Sicherheitsverantwortliche, die Oracle PeopleSoft einsetzen, ist eine strukturierte Vorgehensweise entscheidend. Hier eine praktische Checkliste, die bei der Bewältigung der aktuellen Krise hilft:

1. Expositionsfläche reduzieren: Sofort alle öffentlich erreichbaren Endpunkte des Environment Management Hubs sperren oder hinter eine Firewall verlagern. Überprüfen, ob weitere PeopleSoft-Komponenten ungeschützt im Internet erreichbar sind.

2. Patch-Management beschleunigen: Kontakt mit Oracle Support aufnehmen, um Informationen über verfügbare Patches für die eingesetzte Version zu erhalten. Priorisieren Sie die Aktualisierung auf unterstützte Versionen.

3. Systeme auf Kompromittierungen überprüfen: Eine umfassende Analyse der Logs, insbesondere der SSH-Verbindungen und ungewöhnlicher Prozesse, durchführen. Tools wie EDR-Lösungen können dabei helfen, verdächtige Aktivitäten zu erkennen.

4. Incident-Response-Plan aktivieren: Falls noch nicht geschehen, den Incident-Response-Plan ausführen und externe Experten wie Mandiant hinzuziehen, um die Angriffe zu analysieren und Gegenmaßnahmen zu ergreifen.

5. Benutzer und Stakeholder informieren: Transparente Kommunikation mit allen betroffenen Parteien, einschließlich Studierenden, Mitarbeitenden und Partnern, um das Vertrauen zu wahren und rechtliche Konsequenzen zu minimieren.

6. Sicherheitsrichtlinien überarbeiten: Langfristige Maßnahmen wie die Einführung von Multi-Faktor-Authentifizierung für administrative Zugriffe, die regelmäßige Überprüfung der Expositionsfläche und die Schulung von Mitarbeitenden zu Social-Engineering-Angriffen umsetzen.

Die Angriffe von ShinyHunters sind ein Weckruf für alle Organisationen, die Oracle PeopleSoft einsetzen. Die Kombination aus kritischer Schwachstelle, exponierten Schnittstellen und gezielten Angriffsmethoden zeigt, wie schnell aus einer einzelnen Lücke eine globale Sicherheitskrise werden kann. Wer jetzt handelt, kann Schaden begrenzen – wer zögert, riskiert nicht nur Datenverlust, sondern auch den Verlust von Vertrauen und Reputation.