ShinyHunters zero-day в PeopleSoft до выхода патча

Эксплуатация CVE-2026-35273 в Oracle PeopleSoft до патча Oracle: UNC6240 (ShinyHunters), утечки, PSEMHUB и риск для образования.

2026-06-13 GIGATAP Team #opsec
#shinyhunters#oracle peoplesoft#zero-day

Что изменилось#

С 27 мая по 9 июня 2026 года зафиксирована активная эксплуатация CVE-2026-35273 в развертываниях Oracle PeopleSoft до выхода публичного уведомления Oracle. Это zero-day против публично доступных интерфейсов Environment Management Hub (PSEMHUB).

Mandiant и Google Threat Intelligence Group (GTIG) связали активность с UNC6240 (ShinyHunters), описав сценарий, соответствующий вторжению с последующим вымогательством. После выявления сканирования и эксплуатации более 100 организаций были уведомлены на основе сопоставления с уязвимыми IP-адресами. Значительная доля целей пришлась на сектор высшего образования США — около 68% выявленных организаций.

Дополнительные сообщения в X, включая анализ @nahamike01, раскрыли каталоги на инфраструктуре злоумышленников в staging-сегменте. Это позволило уточнить этапы их работы: от перечисления систем до подготовки к извлечению данных.

CVE-2026-35273
Критическая уязвимость удалённого выполнения кода (CVSS 9.8) в Oracle PeopleSoft Environment Management. Эксплуатация возможна через доступные интерфейсы администрирования, особенно при открытых PSEMHUB.

Почему это важно#

ERP-системы вроде PeopleSoft находятся в центре идентификационных данных, расчёта зарплат, студенческих данных и внутренней финансовой инфраструктуры. При компрометации слоя Environment Management атакующий получает доступ к управлению системой без необходимости повышать привилегии на уровне приложения.

Высокая концентрация в образовании объясняется архитектурой: разнородные ERP-ландшафты, устаревшие системы, распределённое администрирование и часто открытые интерфейсы управления.

Модель атаки соответствует типовой цепочке современных кампаний вымогательства:

  • первичная эксплуатация открытых management endpoint
  • быстрая разведка и перечисление директорий
  • подготовка среды для извлечения данных
  • внешнее давление через угрозу публикации данных

Аналитические модели риска совпадают с исследованиями GigaTap:
https://gigatap.top/en/articles/open-source-security-needs-more-than-code

И с анализом роли тестового покрытия и патч-дисциплины:
https://gigatap.top/en/articles/100-package-test-coverage-is-the-point-not-the-slogan

Что проверить#

Командам безопасности в окружениях Oracle PeopleSoft необходимо разделять статус патча и фактическую экспозицию.

Проверки:

  • доступность интерфейсов Environment Management Hub извне
  • логи за период 27 мая – 9 июня 2026 на признаки сканирования и аномального доступа
  • наличие неожиданных директорий на staging и deployment узлах
  • аудит административных действий в компонентах управления ERP
Состояние Интерпретация риска Приоритет
PSEMHUB доступен извне высокая вероятность эксплуатации zero-day немедленное реагирование
доступ только внутри сети сниженный, но сохраняющийся риск проверка целостности
патч после 10 июня риск зависит от предшествующего доступа форензика

Сопоставление временных окон критично: оно определяет, является ли патч профилактикой или только основой для расследования.

Дополнительная модель зависимости рисков:
https://gigatap.top/en/articles/openssfs-april-signal-make-security-artifacts-operational

Чего не следует утверждать#

Отнесение к UNC6240 (ShinyHunters) основано на инфраструктурных сигналах и поведенческих паттернах. Это практическая атрибуция для анализа кампании, а не абсолютное подтверждение идентичности.

Нет подтверждений, что все затронутые организации подверглись извлечению данных. Уведомления о более чем 100 организациях отражают потенциальное совпадение с уязвимостью, а не подтверждённый масштаб компрометации.

Классификация zero-day связана с моментом выхода уведомления Oracle и не означает длительную скрытую эксплуатацию до 27 мая.

FAQ#

Это была пост-патч атака?
Нет. Эксплуатация происходила до публикации Oracle от 10 июня, то есть в период отсутствия публичного патча.

Почему пострадали в основном университеты?
Большое количество внедрений PeopleSoft, широкие зоны доступа к административным интерфейсам и медленные циклы обновлений.

Основной вектор атаки?
Открытые PSEMHUB интерфейсы Environment Management Hub, позволяющие эксплуатацию CVE-2026-35273.