Exploração de falha crítica no PeopleSoft expõe centenas de organizações a vazamento de dados

Uma vulnerabilidade não corrigida em um dos principais sistemas de gestão empresarial do mundo está sendo explorada por um dos grupos de ransomware mais ativos do momento. A falha afeta o PeopleSoft, software da Oracle voltado para gestão de recursos humanos e financeiros em universidades e grandes empresas. Pesquisadores de segurança confirmaram que invasores já estão usando a brecha para acessar servidores internos, roubar dados sensíveis e extorquir organizações.

A exploração foi iniciada há mais de duas semanas por um grupo conhecido como ShinyHunters, que identificou uma forma de forçar servidores vulneráveis a enviar requisições maliciosas para sistemas internos das vítimas. A técnica, chamada de Server-Side Request Forgery (SSRF), permite que atacantes contornem firewalls e acessem informações confidenciais sem precisar invadir diretamente a rede. A gravidade da vulnerabilidade levou a Oracle a classificar o problema como de severidade 9,8 em uma escala de 10, um dos níveis mais altos de risco registrados recentemente.

Até o momento, a Oracle confirmou que a falha é remotamente explorável e já emitiu uma medida paliativa para reduzir o risco, mas ainda não lançou uma correção definitiva. Enquanto isso, organizações em todo o mundo continuam expostas a ataques que podem resultar em vazamentos de dados de estudantes, funcionários e registros financeiros. A extensão total do dano ainda está sendo avaliada, mas pesquisadores já identificaram tentativas de extorsão contra pelo menos uma vítima.

Como funciona a vulnerabilidade crítica no PeopleSoft

A falha, identificada como CVE-2026-35273, reside em uma configuração inadequada de validação de requisições em componentes do PeopleSoft. Segundo analistas da Mandiant, o SSRF permite que um invasor envie requisições de um servidor vulnerável para outros sistemas dentro da mesma rede interna. Isso significa que, mesmo que o servidor do PeopleSoft esteja protegido por um firewall, um atacante pode usá-lo como trampolim para acessar bancos de dados, sistemas de e-mail corporativos ou até mesmo servidores de arquivos.

O que torna essa vulnerabilidade especialmente perigosa é a sua simplicidade de exploração. Não é necessário um conhecimento avançado de hacking para abusar dessa brecha. Ferramentas automatizadas podem ser usadas para escanear a internet em busca de servidores PeopleSoft expostos e, uma vez encontrados, iniciar o ataque com apenas alguns comandos. A falta de autenticação forte em certos endpoints do sistema facilita ainda mais o processo.

Empresas e instituições de ensino que utilizam o PeopleSoft para gerenciar dados pessoais de estudantes e funcionários estão entre os alvos principais. O grupo ShinyHunters já teria acessado cerca de 300 endpoints pertencentes a 100 organizações diferentes, segundo levantamento da Mandiant. Desses, aproximadamente 68% pertencem ao setor de educação superior, o que indica um foco estratégico dos atacantes nesse segmento.

Impacto nos setores de educação e empresas

A confirmação de um ataque bem-sucedido veio da Universidade de Nottingham, no Reino Unido, que admitiu ter sido vítima de um vazamento de dados após o ShinyHunters publicar gigabytes de informações supostamente roubadas. A universidade relatou que uma “quantidade significativa” de dados de estudantes foi comprometida, embora não tenha fornecido detalhes específicos sobre o tipo de informações vazadas.

Esse incidente destaca os riscos enfrentados por instituições acadêmicas que dependem de sistemas legados para gerenciar informações sensíveis. Universidades armazenam não apenas dados de alunos — como nomes, endereços, números de matrícula e históricos acadêmicos — mas também informações financeiras, registros médicos e dados de pesquisa. A perda ou exposição desses dados pode resultar em danos financeiros, processos judiciais e danos à reputação institucional.

No setor corporativo, empresas que utilizam o PeopleSoft para gerenciar folhas de pagamento, benefícios e registros de funcionários também estão em risco. Um vazamento nesse contexto poderia expor dados como números de seguro social, informações bancárias e históricos de emprego. Além disso, a possibilidade de extorsão — com ameaças de publicação de dados roubados — adiciona uma camada de pressão financeira sobre as vítimas, que podem se sentir obrigadas a pagar resgates para evitar danos maiores.

Resposta da Oracle e medidas paliativas

A Oracle reconheceu a existência da vulnerabilidade e classificou o problema como de alta severidade, mas ainda não disponibilizou um patch definitivo. Em comunicado oficial, a empresa afirmou que está trabalhando em uma correção completa, enquanto isso, recomendou a aplicação de uma medida paliativa para mitigar o risco. A solução temporária envolve a configuração de regras de firewall mais restritivas e a desativação de funcionalidades específicas do PeopleSoft que possam estar expostas.

No entanto, especialistas em segurança alertam que medidas paliativas nem sempre são suficientes para conter ataques avançados. A eficácia da mitigação depende da correta implementação por equipes de TI, que nem sempre têm recursos ou tempo para agir rapidamente. Além disso, a desativação de funcionalidades pode impactar a operação normal do sistema, causando interrupções nos serviços essenciais das organizações.

A demora na liberação de um patch definitivo levanta questões sobre o processo de desenvolvimento e testes da Oracle. Sistemas críticos como o PeopleSoft, usados por milhares de organizações em todo o mundo, exigem ciclos de atualização mais ágeis e transparentes. A falta de comunicação clara sobre o andamento das correções também contribui para a incerteza entre os clientes, que precisam tomar decisões rápidas para proteger seus dados.

O grupo ShinyHunters e suas táticas de extorsão

ShinyHunters é um grupo de ransomware conhecido por suas operações agressivas e pela rápida exploração de vulnerabilidades críticas. Diferentemente de outros grupos que focam em ataques diretos a servidores, o ShinyHunters tem se especializado em explorar falhas em softwares amplamente utilizados, como plataformas de e-commerce e sistemas de gestão empresarial. A descoberta da vulnerabilidade no PeopleSoft representa mais um exemplo de como esses atacantes aproveitam brechas em sistemas essenciais para maximizar o impacto de seus ataques.

Após obter acesso aos servidores das vítimas, o grupo não apenas criptografa dados, mas também os extrai e ameaça publicá-los caso o resgate não seja pago. Essa estratégia, conhecida como "double extortion", aumenta significativamente a pressão sobre as vítimas, que enfrentam não apenas a perda de acesso aos sistemas, mas também o risco de exposição pública de informações confidenciais. No caso da Universidade de Nottingham, o ShinyHunters publicou parte dos dados roubados como forma de pressionar a instituição a negociar.

A atuação do ShinyHunters também inclui a venda de dados roubados em fóruns clandestinos, onde outros criminosos podem adquirir informações para realizar ataques adicionais, como phishing ou fraudes financeiras. Essa prática amplia ainda mais o alcance do dano causado pela vulnerabilidade no PeopleSoft, afetando não apenas as organizações diretamente atacadas, mas também terceiros que possam ser vítimas indiretas.

O que as organizações devem fazer agora

Diante da exploração ativa dessa vulnerabilidade, as organizações que utilizam o PeopleSoft devem agir rapidamente para reduzir os riscos. O primeiro passo é identificar se seus sistemas estão expostos. Isso pode ser feito por meio de varreduras internas ou com a ajuda de ferramentas de segurança que detectem tentativas de exploração do SSRF. Equipes de TI devem revisar os logs de acesso aos servidores do PeopleSoft em busca de atividades suspeitas, como requisições incomuns ou acessos não autorizados.

A aplicação imediata da medida paliativa recomendada pela Oracle é essencial, mesmo que isso implique em alguma interrupção operacional. Além disso, as organizações devem considerar a implementação de controles adicionais, como autenticação multifator para acessos remotos e segmentação de redes para limitar o movimento lateral de atacantes. Essas medidas podem ajudar a conter a exploração da vulnerabilidade enquanto aguardam um patch definitivo.

Outro ponto crítico é a preparação para possíveis vazamentos de dados. Organizações devem revisar seus planos de resposta a incidentes e garantir que tenham procedimentos claros para notificar autoridades e afetados em caso de comprometimento. A comunicação transparente com estudantes, funcionários e clientes é fundamental para manter a confiança e minimizar danos reputacionais. Em casos de extorsão, é recomendável buscar orientação legal antes de tomar qualquer decisão sobre pagamento de resgate.

O futuro das vulnerabilidades em sistemas legados

A exploração da vulnerabilidade no PeopleSoft reforça uma tendência preocupante no cenário de segurança cibernética: o aumento de ataques contra sistemas legados. Muitos softwares empresariais ainda em uso foram desenvolvidos há décadas e não foram projetados para enfrentar as ameaças modernas. À medida que organizações adiam a migração para soluções mais atualizadas, elas permanecem expostas a riscos cada vez maiores.

A falta de patches definitivos para vulnerabilidades críticas em sistemas como o PeopleSoft levanta questões sobre a responsabilidade das empresas desenvolvedoras. Embora a Oracle tenha agido rapidamente ao reconhecer o problema, a demora na liberação de uma correção definitiva deixa clientes em uma posição vulnerável. Isso destaca a necessidade de processos de desenvolvimento mais ágeis e de uma comunicação mais transparente com os usuários.

Para as organizações, a lição é clara: depender exclusivamente de soluções legadas sem um plano de modernização é um risco inaceitável. Investir em atualizações regulares, substituição de sistemas obsoletos e adoção de práticas de segurança proativas pode evitar prejuízos financeiros e danos à reputação. Enquanto isso, a comunidade de segurança deve continuar monitorando de perto a exploração dessa vulnerabilidade e pressionar por soluções definitivas.

Conclusão

A exploração de uma vulnerabilidade crítica no PeopleSoft da Oracle representa um alerta sério para organizações em todo o mundo. A combinação de uma falha de severidade máxima, a exploração ativa por um grupo de ransomware experiente e a ausência de uma correção definitiva cria um cenário perigoso. Universidades, empresas e órgãos governamentais que dependem desse sistema precisam agir com urgência para proteger seus dados e evitar prejuízos irreparáveis.

Até que a Oracle libere um patch completo, as organizações devem confiar em medidas paliativas, monitoramento constante e planos de resposta a incidentes bem estruturados. A situação também serve como um lembrete da importância de modernizar sistemas legados e adotar uma postura proativa em segurança cibernética. Enquanto isso, a comunidade de segurança continua em alerta, ciente de que novas vítimas podem surgir a qualquer momento.