Attacco zero-day a PeopleSoft: centinaia di organizzazioni a rischio, cosa fare ora

Un gruppo di ransomware noto come ShinyHunters ha sfruttato una vulnerabilità zero-day in Oracle PeopleSoft per colpire centinaia di organizzazioni, soprattutto nel settore dell’istruzione superiore. La falla, tracciata come CVE-2026-35273 e classificata con gravità 9.8 su 10, consente attacchi di tipo SSRF (Server-Side Request Forgery), permettendo agli hacker di inviare richieste da server compromessi verso sistemi interni dell’organizzazione. Nonostante Oracle abbia rilasciato una mitigazione provvisoria, la patch definitiva non è ancora disponibile, lasciando molte realtà esposte a rischi concreti di esfiltrazione dati e richieste di riscatto.

La portata dell’attacco è significativa: secondo le analisi di Google Mandiant, ShinyHunters ha già preso di mira circa 100 organizzazioni, colpendo circa 300 endpoint. Di queste, il 68% opera nel settore universitario, come dimostrato anche dalla conferma dell’Università di Nottingham, che ha ammesso di essere stata vittima di un attacco che ha portato alla sottrazione di una “quantità significativa” di dati studenteschi. Il gruppo ha già pubblicato gigabyte di informazioni sottratte, confermando la gravità della situazione e la necessità di interventi immediati da parte delle organizzazioni colpite.

La vulnerabilità CVE-2026-35273: come funziona e perché è così pericolosa

La vulnerabilità CVE-2026-35273 è stata identificata come un SSRF, una falla che permette agli attaccanti di inviare richieste da un server vulnerabile verso sistemi interni non direttamente accessibili da Internet. Questo tipo di vulnerabilità è particolarmente insidioso perché può essere sfruttato per bypassare firewall e altre misure di sicurezza perimetrale, consentendo l’accesso a risorse sensibili come database, sistemi di autenticazione o servizi interni.

La gravità del 9.8 su 10 non è casuale: un SSRF può essere la porta d’accesso a una compromissione totale dell’infrastruttura IT. In questo caso, ShinyHunters ha sfruttato la vulnerabilità per muoversi lateralmente all’interno delle reti delle vittime, raccogliere dati sensibili e, in alcuni casi, installare ransomware. La latenza tra la scoperta dell’exploit e la sua segnalazione pubblica — oltre due settimane — ha dato agli attaccanti un vantaggio significativo, permettendo loro di colpire un numero elevato di organizzazioni prima che venisse diffusa un’adeguata mitigazione.

ShinyHunters: il gruppo dietro l’attacco e le sue tattiche

ShinyHunters è un gruppo di ransomware noto per le sue attività estorsive, che combinano il furto di dati con richieste di riscatto. Secondo le analisi di Mandiant, il gruppo ha iniziato a sfruttare la vulnerabilità PeopleSoft a partire dal 27 maggio, colpendo inizialmente organizzazioni nel settore dell’istruzione superiore. La scelta non è casuale: le università spesso gestiscono grandi quantità di dati sensibili su studenti, personale e ricerca, rendendole obiettivi appetibili per attacchi finalizzati all’estorsione.

Le tattiche di ShinyHunters includono non solo l’esfiltrazione dati, ma anche la pubblicazione di campioni delle informazioni sottratte per aumentare la pressione sulle vittime. L’Università di Nottingham ha confermato di essere stata colpita e ha riferito che una “quantità significativa” di dati studenteschi è stata compromessa. Questo episodio dimostra come gli attaccanti stiano diventando sempre più aggressivi, non limitandosi a cifrare i dati ma anche a minacciare la loro pubblicazione pubblica se non viene pagato il riscatto.

Le organizzazioni più a rischio: perché le università sono nel mirino

Il 68% delle organizzazioni colpite da ShinyHunters opera nel settore dell’istruzione superiore, un dato che riflette sia la diffusione di PeopleSoft in questo ambito sia le vulnerabilità tipiche delle istituzioni accademiche. Le università spesso gestiscono sistemi legacy, aggiornamenti software irregolari e una complessa rete di servizi interni che possono essere sfruttati tramite un SSRF. Inoltre, la natura stessa delle istituzioni accademiche — con molteplici dipartimenti, ricercatori e studenti che accedono a sistemi condivisi — rende più difficile implementare misure di sicurezza uniformi.

La conferma dell’Università di Nottingham non è un caso isolato. Molte altre istituzioni potrebbero aver subito attacchi simili senza ancora averli resi pubblici, soprattutto se non hanno ancora rilevato la compromissione. La mancanza di una patch definitiva per CVE-2026-35273 aggrava ulteriormente il rischio, costringendo le organizzazioni a fare affidamento su soluzioni temporanee e a monitorare attentamente i propri sistemi per rilevare eventuali attività sospette.

Oracle risponde: mitigazione provvisoria e gap di sicurezza

Oracle ha riconosciuto la gravità della vulnerabilità e ha rilasciato una mitigazione provvisoria per ridurre il rischio di sfruttamento. Tuttavia, la casa madre non ha ancora pubblicato una patch definitiva, lasciando le organizzazioni in una situazione di incertezza. Secondo le fonti, la vulnerabilità è classificata come “remotamente sfruttabile”, il che significa che un attaccante potrebbe accedere ai sistemi senza bisogno di interazione diretta da parte della vittima.

La mancanza di una soluzione definitiva è particolarmente preoccupante perché gli attaccanti come ShinyHunters hanno già dimostrato di saper sfruttare rapidamente le vulnerabilità zero-day. Le organizzazioni che utilizzano PeopleSoft dovrebbero quindi adottare misure immediate per proteggere i propri sistemi, come l’applicazione della mitigazione provvisoria, il monitoraggio dei log per rilevare attività sospette e l’isolamento dei sistemi critici fino all’arrivo della patch ufficiale.

Come proteggere i sistemi: azioni immediate per le organizzazioni

Per le organizzazioni che utilizzano Oracle PeopleSoft, i passi da seguire sono chiari e urgenti. Innanzitutto, è fondamentale applicare la mitigazione provvisoria rilasciata da Oracle, che potrebbe limitare l’esposizione alla vulnerabilità SSRF. In secondo luogo, occorre implementare un monitoraggio attivo dei log di sistema per rilevare eventuali tentativi di sfruttamento o movimenti laterali all’interno della rete.

Un altro passo cruciale è l’isolamento dei sistemi critici, come database e servizi di autenticazione, per limitare la superficie di attacco. Le organizzazioni dovrebbero inoltre valutare l’implementazione di soluzioni di sicurezza aggiuntive, come firewall applicativi o sistemi di rilevamento delle intrusioni, che possano fornire un ulteriore livello di protezione contro attacchi SSRF. Infine, è consigliabile condurre una valutazione della postura di sicurezza interna per identificare eventuali punti deboli che potrebbero essere sfruttati dagli attaccanti.

Il ruolo della cybersecurity moderna: oltre la patch management

L’attacco a PeopleSoft evidenzia una tendenza crescente nel panorama delle minacce: gli attaccanti non aspettano che le vulnerabilità vengano patchate, ma le sfruttano non appena diventano note, spesso prima che le organizzazioni abbiano il tempo di reagire. Questo rende la cybersecurity moderna un gioco di anticipazione, in cui la rapidità di risposta è fondamentale tanto quanto la prevenzione.

Per le organizzazioni, questo significa che la gestione delle vulnerabilità non può più limitarsi all’applicazione delle patch, ma deve includere una strategia di difesa proattiva. Questo include il monitoraggio continuo delle minacce, la segmentazione della rete per limitare i movimenti laterali e la formazione del personale per riconoscere le tattiche degli attaccanti. Inoltre, le organizzazioni dovrebbero considerare l’adozione di framework di sicurezza come lo Zero Trust, che assume che nessuna entità all’interno della rete sia automaticamente affidabile, riducendo così il rischio di compromissioni anche in caso di sfruttamento di vulnerabilità.

Cosa aspettarsi nei prossimi giorni: monitoraggio e risposta

Nei prossimi giorni, è probabile che emergano ulteriori dettagli sull’entità dell’attacco e sulle organizzazioni colpite. Google Mandiant e altri ricercatori di sicurezza continueranno a monitorare l’attività di ShinyHunters e a condividere aggiornamenti sulle tattiche, tecniche e procedure utilizzate dal gruppo. Le organizzazioni dovrebbero rimanere vigili e prepararsi a rispondere rapidamente a eventuali nuove minacce.

Un aspetto da monitorare è l’evoluzione della patch definitiva da parte di Oracle. Una volta rilasciata, le organizzazioni dovranno applicarla il più rapidamente possibile per chiudere definitivamente la vulnerabilità. Tuttavia, data la gravità della situazione, è probabile che gli attaccanti continueranno a sfruttare CVE-2026-35273 anche dopo la patch, almeno fino a quando la maggior parte dei sistemi non sarà aggiornata.

Conclusioni: agire ora per evitare danni futuri

L’attacco zero-day a PeopleSoft rappresenta un promemoria critico dell’importanza di una postura di sicurezza robusta e proattiva. Le organizzazioni che utilizzano Oracle PeopleSoft devono agire immediatamente per applicare la mitigazione provvisoria, monitorare i propri sistemi e prepararsi a eventuali richieste di riscatto o esfiltrazioni dati. La mancanza di una patch definitiva aumenta il rischio, ma con le giuste misure è possibile ridurre l’esposizione e proteggere i dati sensibili.

Per le università e le istituzioni accademiche, il rischio è ancora più elevato a causa della natura dei dati gestiti e della complessità delle reti. È fondamentale che queste organizzazioni collaborino con i team di sicurezza e adottino best practice per limitare l’impatto di eventuali attacchi. Nel frattempo, la comunità della cybersecurity dovrà continuare a monitorare l’evoluzione della situazione e fornire supporto alle vittime per garantire una risposta efficace e tempestiva.