Oracle PeopleSoft: ShinyHunters sfrutta zero-day critico per colpire università e aziende

Il gruppo di estorsione ShinyHunters ha recentemente sfruttato una vulnerabilità critica non ancora corretta in Oracle PeopleSoft per penetrare nei sistemi di università e aziende, rubare dati sensibili e chiedere pagamenti per evitare la loro pubblicazione. Secondo l’analisi di Mandiant, l’attacco è stato attribuito al gruppo noto come UNC6240 e si è svolto tra il 27 maggio e il 9 giugno 2026. Oracle ha pubblicato un avviso ufficiale solo il 10 giugno, confermando che la vulnerabilità, identificata come CVE-2026-35273, è una falla di esecuzione remota di codice (RCE) con un punteggio CVSS di 9.8 su 10. Questo significa che un attaccante può prendere il controllo di un server PeopleSoft semplicemente accedendo alla rete tramite HTTP, senza bisogno di autenticazione o interazione da parte dell’utente. La criticità risiede nel componente Updates Environment Management, parte dell’Environment Management Hub (PSEMHUB), e colpisce le versioni 8.61 e 8.62 di PeopleTools. Anche versioni precedenti non supportate potrebbero essere vulnerabili.

La vulnerabilità CVE-2026-35273 rappresenta un rischio significativo perché non richiede privilegi avanzati né interazione dell’utente per essere sfruttata. Un attaccante può eseguire codice arbitrario su un server PeopleSoft semplicemente inviando una richiesta malevola tramite la rete. Questo tipo di attacco è particolarmente pericoloso per le organizzazioni che espongono pubblicamente l’Environment Management Hub, poiché la falla permette l’accesso diretto ai sistemi interni. Oracle ha riconosciuto il problema dopo segnalazioni da parte di ricercatori di TrendAI Zero Day Initiative e TrendAI Research, ma non ha ancora fornito una patch completa accessibile a tutti gli utenti. Al momento, la soluzione principale consiste nell’applicare misure di mitigazione immediate, come la limitazione dell’accesso ai componenti vulnerabili e l’isolamento delle reti esposte.

L’attività di ShinyHunters è stata scoperta grazie a una serie di errori operativi da parte degli attaccanti. Il ricercatore @nahamike01 ha segnalato la presenza di directory aperte che esponevano file di staging utilizzati dagli attaccanti. Mandiant ha poi identificato cinque indirizzi IP sequenziali che ospitavano server Python SimpleHTTPServer sulla porta 8888. Questi server contenevano file come .bash_history, agenti di gestione remota personalizzati camuffati da binari di Microsoft Azure e script di movimento laterale. Gli agenti di gestione remota comunicavano con un server di comando e controllo situato all’indirizzo azurenetfiles.net, un dominio scelto per assomigliare a Azure NetApp Files. Lo script di movimento laterale, denominato [nome_vittima]_fanout.sh, si diffondeva tramite SSH utilizzando una lista hardcoded di credenziali contro host interni estratti dal file /etc/hosts. Inoltre, gli attaccanti lasciavano un file di marker denominato README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT nelle directory di PeopleSoft, segnalando la compromissione del sistema.

Come funziona la vulnerabilità CVE-2026-35273 in Oracle PeopleSoft

La vulnerabilità CVE-2026-35273 è una falla di esecuzione remota di codice (RCE) che colpisce il componente Updates Environment Management di Oracle PeopleSoft. Questo componente fa parte dell’Environment Management Hub (PSEMHUB), una piattaforma utilizzata per gestire gli ambienti di sviluppo, test e produzione di PeopleSoft. La criticità permette a un attaccante di inviare una richiesta HTTP appositamente predisposta per eseguire codice arbitrario sul server, senza bisogno di autenticazione o interazione da parte dell’utente. Questo è possibile perché la vulnerabilità risiede in una parte del software che gestisce gli aggiornamenti degli ambienti, rendendola particolarmente esposta agli attacchi via rete.

La gravità della vulnerabilità è accentuata dal fatto che non richiede privilegi avanzati per essere sfruttata. Un attaccante può quindi prendere il controllo completo di un server PeopleSoft semplicemente accedendo alla rete tramite HTTP. Questo tipo di attacco è particolarmente pericoloso per le organizzazioni che espongono pubblicamente l’Environment Management Hub, poiché la falla permette l’accesso diretto ai sistemi interni. Secondo Oracle, la vulnerabilità colpisce le versioni 8.61 e 8.62 di PeopleTools, ma è probabile che anche versioni precedenti non supportate siano vulnerabili. Questo amplia notevolmente la superficie di attacco, poiché molte organizzazioni potrebbero ancora utilizzare versioni obsolete del software.

Il punteggio CVSS di 9.8 su 10 conferma la criticità della vulnerabilità. Questo punteggio elevato è dovuto alla facilità di sfruttamento, all’assenza di autenticazione richiesta e alla potenziale impatto sull’integrità, la riservatezza e la disponibilità dei dati. Per le organizzazioni che utilizzano Oracle PeopleSoft, la priorità assoluta è applicare le misure di mitigazione immediate, come la limitazione dell’accesso ai componenti vulnerabili e l’isolamento delle reti esposte. Inoltre, è fondamentale monitorare attentamente le attività di rete per rilevare eventuali tentativi di sfruttamento della vulnerabilità.

Il ruolo di ShinyHunters e la campagna di attacco

ShinyHunters è un noto gruppo di estorsione che si distingue per l’uso di tattiche aggressive e per la pubblicazione di dati rubati in caso di mancato pagamento del riscatto. Secondo l’analisi di Mandiant, il gruppo è stato identificato come UNC6240 e ha condotto una campagna di attacchi tra il 27 maggio e il 9 giugno 2026. Gli obiettivi principali sono stati le università e le aziende, che rappresentano un target redditizio per questo tipo di attacchi. Le università, in particolare, sono spesso caratterizzate da risorse limitate per la sicurezza informatica e da una grande quantità di dati sensibili, che le rendono un bersaglio ideale per gli attaccanti.

La campagna di attacco di ShinyHunters ha sfruttato la vulnerabilità zero-day CVE-2026-35273 per penetrare nei sistemi di PeopleSoft, rubare dati sensibili e chiedere pagamenti per evitare la loro pubblicazione. Gli attaccanti hanno utilizzato una serie di strumenti e tecniche per muoversi lateralmente all’interno delle reti compromesse, tra cui agenti di gestione remota camuffati da binari di Microsoft Azure e script di movimento laterale. Questi strumenti sono stati progettati per eludere i controlli di sicurezza e per facilitare la diffusione dell’attacco all’interno delle reti compromesse.

Uno degli aspetti più preoccupanti della campagna di ShinyHunters è stata la scoperta di server di staging lasciati esposti dagli attaccanti. Il ricercatore @nahamike01 ha segnalato la presenza di directory aperte che contenevano file utilizzati dagli attaccanti per organizzare l’attacco. Mandiant ha poi identificato cinque indirizzi IP sequenziali che ospitavano server Python SimpleHTTPServer sulla porta 8888. Questi server contenevano file come .bash_history, agenti di gestione remota personalizzati e script di movimento laterale. Gli agenti di gestione remota comunicavano con un server di comando e controllo situato all’indirizzo azurenetfiles.net, un dominio scelto per assomigliare a Azure NetApp Files.

Le tecniche di attacco e gli strumenti utilizzati

Gli attaccanti hanno utilizzato una serie di tecniche e strumenti per sfruttare la vulnerabilità CVE-2026-35273 e muoversi lateralmente all’interno delle reti compromesse. Uno degli strumenti principali è stato l’agente di gestione remota camuffato da binario di Microsoft Azure. Questo agente è stato utilizzato per stabilire una connessione di comando e controllo con il server azurenetfiles.net, permettendo agli attaccanti di controllare da remoto i sistemi compromessi. Inoltre, gli attaccanti hanno utilizzato uno script di movimento laterale denominato [nome_vittima]_fanout.sh, che si diffondeva tramite SSH utilizzando una lista hardcoded di credenziali contro host interni estratti dal file /etc/hosts.

Lo script [nome_vittima]_fanout.sh è stato progettato per automatizzare il processo di diffusione dell’attacco all’interno della rete. Lo script utilizzava una lista di credenziali predefinite per tentare l’accesso tramite SSH su host interni, cercando di diffondere l’infezione a più sistemi possibile. Una volta compromesso un sistema, lo script lasciava un file di marker denominato README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT nelle directory di PeopleSoft, segnalando la compromissione del sistema. Questo file rappresenta una chiara indicazione di un attacco in corso e può essere utilizzato dagli amministratori di sistema per rilevare e rispondere all’infezione.

Un altro aspetto preoccupante della campagna di attacco è stata la scoperta di file di staging lasciati esposti dagli attaccanti. Questi file includevano file di cronologia dei comandi (.bash_history) che contenevano informazioni sensibili sulle attività degli attaccanti. Inoltre, gli attaccanti avevano compresso i dati rubati utilizzando lo strumento zstd prima di trasferirli tramite una connessione SSH verso un server pubblico che ospitava una copia speculare del sito di leak di ShinyHunters. Questo suggerisce che gli attaccanti erano ben organizzati e utilizzavano tecniche avanzate per nascondere le proprie tracce e facilitare la diffusione dei dati rubati.

Le misure di mitigazione e le raccomandazioni per le organizzazioni

Data la criticità della vulnerabilità CVE-2026-35273, le organizzazioni che utilizzano Oracle PeopleSoft devono agire rapidamente per mitigare il rischio di attacco. La soluzione principale consiste nell’applicare misure di mitigazione immediate, come la limitazione dell’accesso ai componenti vulnerabili e l’isolamento delle reti esposte. Oracle ha pubblicato un avviso ufficiale solo il 10 giugno 2026, ma la vulnerabilità era già stata sfruttata dagli attaccanti tra il 27 maggio e il 9 giugno. Questo significa che molte organizzazioni potrebbero essere state già compromesse senza rendersene conto.

Per proteggere i propri sistemi, le organizzazioni dovrebbero innanzitutto verificare se il proprio ambiente PeopleSoft è esposto pubblicamente tramite l’Environment Management Hub. Se l’accesso è necessario, è fondamentale implementare controlli di sicurezza aggiuntivi, come l’autenticazione multifattore (MFA) e la limitazione degli indirizzi IP autorizzati. Inoltre, è consigliabile applicare le patch di sicurezza non appena saranno disponibili, anche se Oracle non ha ancora fornito una soluzione completa accessibile a tutti gli utenti. In attesa di una patch ufficiale, le organizzazioni possono utilizzare regole di firewall e segmentazione di rete per ridurre la superficie di attacco.

Un’altra misura importante è il monitoraggio continuo delle attività di rete per rilevare eventuali tentativi di sfruttamento della vulnerabilità. Gli amministratori di sistema dovrebbero prestare particolare attenzione a connessioni in ingresso non autorizzate, traffico di rete anomalo e file sospetti lasciati nelle directory di PeopleSoft. Inoltre, è fondamentale implementare procedure di risposta agli incidenti per gestire eventuali compromissioni e prevenire la diffusione dell’attacco all’interno della rete. Le organizzazioni dovrebbero anche considerare l’adozione di soluzioni di rilevamento e risposta (EDR) per monitorare e bloccare le attività sospette in tempo reale.

L’impatto sulle università e le implicazioni per il settore dell’istruzione

Le università rappresentano un target particolarmente vulnerabile per attacchi come quello portato avanti da ShinyHunters. Le istituzioni accademiche spesso dispongono di risorse limitate per la sicurezza informatica e gestiscono una grande quantità di dati sensibili, tra cui informazioni personali degli studenti, dati di ricerca e proprietà intellettuale. La compromissione di questi dati può avere conseguenze gravi, tra cui la perdita di fiducia da parte degli studenti e dei finanziatori, danni alla reputazione e potenziali sanzioni normative.

La campagna di attacco di ShinyHunters ha colpito numerose università, mettendo a rischio dati sensibili e interrompendo le attività istituzionali. Gli attaccanti hanno sfruttato la vulnerabilità zero-day per rubare dati e chiedere riscatti, minacciando di pubblicare le informazioni rubate in caso di mancato pagamento. Questo tipo di estorsione può avere un impatto significativo sulle istituzioni, costringendole a pagare per evitare la diffusione pubblica dei dati o a gestire le conseguenze di una violazione della sicurezza.

Per le università, la priorità assoluta è rafforzare le misure di sicurezza per proteggere i propri sistemi e dati. Questo include l’aggiornamento regolare dei software, l’implementazione di controlli di sicurezza avanzati e la formazione del personale e degli studenti sulle migliori pratiche di cybersecurity. Inoltre, le università dovrebbero collaborare con esperti di sicurezza informatica e condividere informazioni sugli attacchi subiti per prevenire futuri incidenti. La condivisione di threat intelligence può aiutare a identificare nuove minacce e a sviluppare strategie di difesa più efficaci.

Le responsabilità di Oracle e la gestione delle vulnerabilità zero-day

La gestione delle vulnerabilità zero-day rappresenta una sfida significativa per i vendor di software, soprattutto quando si tratta di prodotti ampiamente utilizzati come Oracle PeopleSoft. In questo caso, la vulnerabilità CVE-2026-35273 è stata sfruttata dagli attaccanti per settimane prima che Oracle pubblicasse un avviso ufficiale. Questo ritardo ha esposto numerose organizzazioni a un rischio significativo, poiché molti amministratori di sistema non erano a conoscenza della vulnerabilità e non hanno potuto adottare misure di mitigazione tempestive.

Oracle ha riconosciuto il problema solo dopo aver ricevuto segnalazioni da parte di ricercatori di TrendAI Zero Day Initiative e TrendAI Research, ma non ha ancora fornito una patch completa accessibile a tutti gli utenti. Al momento, la soluzione principale consiste nell’applicare misure di mitigazione immediate, come la limitazione dell’accesso ai componenti vulnerabili e l’isolamento delle reti esposte. Questo approccio temporaneo sottolinea l’importanza di una comunicazione tempestiva e trasparente da parte dei vendor, nonché la necessità di una collaborazione più stretta tra vendor, ricercatori e organizzazioni utenti per gestire le vulnerabilità zero-day in modo più efficace.

Per migliorare la gestione delle vulnerabilità, Oracle e altri vendor dovrebbero considerare l’implementazione di programmi di bug bounty più robusti e la pubblicazione tempestiva di avvisi di sicurezza, anche prima della disponibilità di una patch. Inoltre, è fondamentale fornire agli utenti strumenti e risorse per identificare e mitigare rapidamente le vulnerabilità, come script di rilevamento e guide di best practice. La collaborazione con organizzazioni di sicurezza come Mandiant può aiutare a identificare e rispondere alle minacce in modo più efficace, riducendo il rischio di sfruttamento da parte di gruppi come ShinyHunters.

Cosa devono fare le organizzazioni ora: una checklist operativa

Per le organizzazioni che utilizzano Oracle PeopleSoft, la priorità assoluta è verificare se i propri sistemi sono esposti alla vulnerabilità CVE-2026-35273 e adottare misure di mitigazione immediate. Ecco una checklist operativa per affrontare la situazione:

1. Verifica dell’esposizione: Controllare se l’Environment Management Hub (PSEMHUB) di PeopleSoft è accessibile da Internet. Se sì, limitare immediatamente l’accesso solo agli indirizzi IP autorizzati e implementare l’autenticazione multifattore (MFA).

2. Isolamento della rete: Segmentare la rete per isolare i sistemi PeopleSoft dagli altri ambienti, riducendo la superficie di attacco e limitando la possibilità di movimento laterale in caso di compromissione.

3. Monitoraggio delle attività sospette: Implementare soluzioni di monitoraggio per rilevare connessioni in ingresso non autorizzate, traffico di rete anomalo e file sospetti nelle directory di PeopleSoft. Prestare particolare attenzione a script come [nome_vittima]_fanout.sh e file di marker come README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT.

4. Applicazione delle patch: Monitorare gli aggiornamenti ufficiali di Oracle e applicare le patch di sicurezza non appena saranno disponibili. In attesa di una soluzione completa, utilizzare regole di firewall e segmentazione di rete per ridurre il rischio.

5. Risposta agli incidenti: Sviluppare e testare procedure di risposta agli incidenti per gestire eventuali compromissioni. Questo include la capacità di isolare rapidamente i sistemi compromessi, analizzare l’estensione dell’attacco e ripristinare i servizi critici.

6. Formazione e consapevolezza: Formare il personale IT e gli utenti finali sulle migliori pratiche di cybersecurity, inclusa la gestione delle credenziali, il riconoscimento delle minacce e le procedure di segnalazione degli incidenti.

7. Collaborazione con esperti: Considerare la collaborazione con società di sicurezza informatica per condurre valutazioni delle vulnerabilità, test di penetrazione e attività di threat hunting per identificare eventuali compromissioni non rilevate.

8. Condivisione delle informazioni: Partecipare a community di threat intelligence e condividere informazioni sugli attacchi subiti con altre organizzazioni, vendor e autorità di regolamentazione. Questo può aiutare a prevenire futuri incidenti e a sviluppare strategie di difesa più efficaci.

Il futuro delle vulnerabilità in software enterprise e le lezioni apprese

L’attacco di ShinyHunters tramite la vulnerabilità CVE-2026-35273 in Oracle PeopleSoft rappresenta un promemoria importante dei rischi associati all’uso di software enterprise non aggiornato o non protetto adeguatamente. Le organizzazioni devono affrontare una sfida crescente nel gestire la sicurezza di sistemi complessi e ampiamente interconnessi, che spesso includono componenti legacy e configurazioni non ottimali.

Una delle lezioni principali da questo incidente è l’importanza di una gestione proattiva delle vulnerabilità, con un focus sulla tempestività nella rilevazione e nella risposta. I vendor devono migliorare i tempi di pubblicazione degli avvisi di sicurezza e fornire soluzioni di mitigazione immediate, anche in assenza di patch complete. Allo stesso tempo, le organizzazioni devono adottare un approccio olistico alla sicurezza, che includa non solo l’aggiornamento dei software, ma anche la segmentazione della rete, il monitoraggio continuo e la formazione del personale.

Un altro aspetto critico è la necessità di una maggiore collaborazione tra vendor, ricercatori di sicurezza e organizzazioni utenti. La condivisione di threat intelligence e best practice può aiutare a identificare e mitigare le vulnerabilità più rapidamente, riducendo il rischio di sfruttamento da parte di gruppi come ShinyHunters. Inoltre, le organizzazioni devono essere preparate a rispondere agli incidenti in modo efficace, con procedure chiare e risorse adeguate per gestire le conseguenze di una compromissione.

Infine, questo incidente sottolinea l’importanza di una cultura della sicurezza che permei tutta l’organizzazione, dal top management agli utenti finali. La sicurezza informatica non può essere considerata un problema esclusivo del reparto IT, ma deve essere una priorità strategica che coinvolge tutti i livelli dell’organizzazione. Solo attraverso un approccio collaborativo e proattivo sarà possibile affrontare le sfide sempre più complesse della cybersecurity nel mondo enterprise.