Oracle PeopleSoft Zero-Day: ShinyHunters’in Üniversiteleri Hedef Alan Saldırısı ve CVE-2026-35273 Tehlikesi

Oracle PeopleSoft platformunun temel bileşenlerinden biri olan PeopleTools’un güncel olmayan versiyonlarında bulunan ve CVE-2026-35273 olarak tanımlanan kritik uzaktan kod yürütme açığı, ShinyHunters adlı siber suç grubunun elinde ciddi bir silah haline geldi. Mayıs ayının son haftası ile Haziran ayının ilk haftası arasında gerçekleşen saldırı dalgası, özellikle üniversitelerin sistemlerine odaklandı ve kurumları veri hırsızlığı ile karşı karşıya bıraktı. Google’ın Mandiant birimi, saldırıları UNC6240 olarak izledikleri gruba atfetti ve olayın tamamen sıfır-gün karakteri taşıdığını doğruladı — yani Oracle, açığı resmi olarak kabul edip düzeltme yayımlayana kadar açıkta kaldı. Bu gecikme, saldırganlara sistemlere sızmak için gereken süreyi tanıdı ve sonuç olarak yüzlerce kurumun verileri tehlikeye girdi.

Saldırı zinciri, PeopleSoft Enterprise PeopleTools’un 8.61 ve 8.62 versiyonlarını etkileyen ve 9.8’lik bir CVSS puanıyla sınıflandırılan bu açığın istismar edilmesiyle başladı. Açık, kimlik doğrulaması gerektirmediği gibi kullanıcı etkileşimine de ihtiyaç duymuyor; yalnızca HTTP üzerinden ağa erişim olması yeterli. Bu da, saldırganların kurumun dışa açık bir arayüzüne ulaşmaları durumunda, doğrudan sunucuya erişim elde edebilecekleri anlamına geliyor. Özellikle PeopleSoft sistemlerinde kullanılan Environment Management Hub bileşeni, özellikle dikkat edilmesi gereken bir zafiyet noktası olarak öne çıkıyor. Oracle’ın yaptığı açıklamaya göre, bu bileşenin dışarıdan erişilebilir olması durumunda, kurumlar doğrudan risk altında kalıyor. Bu nedenle, sistem yöneticilerinin acil olarak bu arayüzleri kapatmaları veya erişimlerini sınırlandırmaları gerekiyor.

Mandiant’in teknik analizine göre, ShinyHunters saldırganları, açık PSEMHUB bileşenini kullanarak kurum ağlarına sızmayı başardı. Saldırının başarılı olmasının ardından, saldırganlar sisteme Python tabanlı basit bir HTTP sunucusu kurarak veri toplama ve hareket etme aşamasına geçti. Araştırmacı @nahamike01 tarafından tespit edilen açık dizinler sayesinde, saldırganların bıraktığı izler ortaya çıktı. Bu dizinlerde, saldırganların sistemdeki faaliyetlerini belgeleyen .bash_history dosyaları, Microsoft Azure ikili dosyaları gibi gizlenen MeshCentral uzaktan erişim ajanları ve dahili sistemlere yayılmak için kullanılan lateral-movement betikleri yer aldı. Bu ajanlar, azurenetfiles.net adlı bir komuta-kontrol sunucusuna bağlanıyordu; bu alan adı, Microsoft Azure NetApp Files hizmetini taklit edecek şekilde seçilmişti. Bu taktik, saldırganların izlerini gizlemeye ve kurumların güvenlik ekiplerinin dikkatini dağıtmaya yönelikti.

Saldırının teknik detayları incelendiğinde, saldırganların sisteme yerleştirdikleri [victim]_fanout.sh adlı betiğin, SSH üzerinden dahili sistemlere yayılmak için kullanıldığı görülüyor. Bu betik, /etc/hosts dosyasından alınan sunucu listelerini kullanarak, önceden belirlenmiş kullanıcı adı ve parola kombinasyonlarını sırayla deniyor ve başarılı oldukları her sistemde README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT adlı bir uyarı dosyası bırakıyordu. Bu dosya, sistemde gerçekleşen saldırının bir kanıtı olarak hizmet ederken, saldırganların veri toplama sürecini belgeleyen komut geçmişleri de zstd sıkıştırma yöntemiyle arşivlenip, ShinyHunters’in sızdırma sitesinin halka açık aynasına SSH üzerinden aktarılıyordu. Bu süreç, saldırının sadece veri hırsızlığıyla sınırlı kalmadığını, aynı zamanda siber suç grubunun operasyonel esnekliğini ve sistemlere yerleştirdiği kalıcı erişim araçlarını da gözler önüne seriyor.

Oracle’ın resmi açıklamasına göre, CVE-2026-35273 için bir düzeltme yayımlanmış olsa da, bu düzeltmenin erişilebilirliği konusunda net bir bilgi bulunmuyor. Oracle’ın yayınladığı düzeltme dokümanı, yalnızca destek abonelerine özel bir portal üzerinden erişilebilir durumda ve bu da birçok kurumun güncelleme sürecini geciktirebilecek bir engel olarak karşımıza çıkıyor. Mandiant’in CTO’su Charles Carmakal, açığın gerçek dünya saldırılarında aktif olarak istismar edildiğini doğrularken, Oracle’ın kendi sistemlerinde benzer bir faaliyet tespit edip etmediğine dair herhangi bir açıklama yapmaması dikkat çekici. Bu durum, kurumların kendi sistemlerinde benzer saldırıların izlerini aramaları ve acil önlemler almaları gerektiğini ortaya koyuyor.

Saldırının hedef kitlesi arasında üniversitelerin öne çıkması, akademik kurumların siber güvenlik konusundaki hassasiyetini bir kez daha gündeme getirdi. Üniversiteler, genellikle geniş ve karmaşık ağ yapıları, çeşitli kullanıcı profilleri ve sınırlı bütçeler nedeniyle siber saldırılara karşı daha savunmasız kalabiliyor. ShinyHunters’in üniversiteleri tercih etmesi, bu kurumların veri zenginliğinin yanı sıra, genellikle daha az katı güvenlik protokollerine sahip olmalarından kaynaklanıyor olabilir. Bu durum, akademik kurumların siber güvenlik stratejilerini yeniden değerlendirmeleri ve daha katı kontroller uygulamaları gerektiğini gösteriyor.

Olayın teknik boyutunun yanı sıra, veri gizliliği ve güvenlik ihlallerinin yasal ve operasyonel sonuçları da oldukça ciddi. ShinyHunters, saldırılar sonrasında kurumlardan fidye taleplerinde bulundu ve verilerin sızdırılmaması karşılığında ödeme yapılmasını şart koştu. Bu, siber suç gruplarının giderek daha sofistike ve taleplerini doğrudan kurumlara yönlendiren bir strateji izlediğini gösteriyor. Kurumların, veri ihlallerinin ardından yaşayabilecekleri itibar kaybı, yasal yaptırımlar ve müşteri güven kaybı gibi sonuçları göz önünde bulundurarak, siber güvenlik yatırımlarını artırmaları gerekiyor.

Peki, kurumlar bu tür saldırılardan nasıl korunabilir? İlk olarak, PeopleSoft gibi kritik sistemlerin dışa açık arayüzlerinin mümkün olduğunca sınırlandırılması ve yalnızca gerekli durumlarda erişime açılması gerekiyor. İkinci olarak, sistemlerde kullanılan yazılımların güncel versiyonlarının kullanılması ve güvenlik yamalarının zamanında uygulanması hayati önem taşıyor. Üçüncü olarak, saldırıların erken tespiti için sürekli izleme ve log analizi yapılması gerekiyor. Son olarak, çalışanlara yönelik siber güvenlik farkındalık eğitimleri düzenlenmesi ve saldırıların nasıl gerçekleştiği konusunda bilgi sahibi olunması, hem dış saldırılara hem de iç tehditlere karşı koruma sağlayacaktır.

Mandiant’in yaptığı incelemelerde, saldırganların bıraktığı izlerin çoğunun, aslında daha önceki güvenlik denetimlerinde tespit edilebilecek türden basit hatalar olduğu ortaya çıktı. Bu da, kurumların sadece dış tehditlere odaklanmak yerine, iç sistemlerindeki zafiyetleri de düzenli olarak tespit etmeleri ve gidermeye yönelik adımlar atmaları gerektiğini gösteriyor. Özellikle PeopleSoft gibi büyük ve karmaşık sistemlerde, güvenlik açıklarının tespiti ve kapatılması, operasyonel süreçlerin bir parçası haline getirilmeli.

Olayın ortaya çıkmasından sonra, Oracle’ın resmi olarak yayımladığı düzeltme dokümanının erişilebilirliği konusunda yaşanan belirsizlik, birçok kurumun güncelleme sürecini geciktirdi. Bu durum, siber güvenlik dünyasında, üreticilerin yamaların erişilebilirliğini ve dağıtımını daha şeffaf bir şekilde yönetmeleri gerektiğini ortaya koydu. Kurumlar, yalnızca resmi yamalara güvenmek yerine, üçüncü taraf güvenlik araştırmacıları tarafından yayınlanan geçici çözümleri ve en iyi uygulamaları da takip etmeli ve uygulamalıdır.

Sonuç olarak, CVE-2026-35273 ve ShinyHunters’in bu saldırısı, kurumların siber güvenlik stratejilerini yeniden gözden geçirmeleri gerektiğini bir kez daha gösterdi. Kritik sistemlerin güvenliği, yalnızca teknik önlemlerle değil, aynı zamanda sürekli izleme, eğitim ve operasyonel süreçlerin iyileştirilmesiyle sağlanabilir. Üniversiteler başta olmak üzere tüm kurumların, bu saldırıdan ders çıkararak, siber tehditlere karşı daha hazırlıklı olmaları ve gerekli adımları acilen atmaları gerekiyor. Aksi takdirde, benzer saldırılar gelecekte de devam edecek ve kurumların verileri, itibarları ve operasyonel süreçleri ciddi şekilde zarar görebilecektir.