Google подтвердила эксплуатацию zero-day в Oracle PeopleSoft

Google подтвердила, что группировка ShinyHunters использовала критическую уязвимость в Oracle PeopleSoft как zero-day. Речь о CVE-2026-35273 — проблеме в PeopleSoft Enterprise PeopleTools, которая позволяет удаленно атаковать систему без авторизации.

Oracle выпустила внеплановый Security Alert и призвала клиентов срочно применить защитные меры. Уязвимость затрагивает PeopleSoft Enterprise PeopleTools 8.61 и 8.62. Пользователи PeopleSoft Enterprise Applications тоже могут оказаться под риском, если их инсталляции используют уязвимые PeopleTools.

Самый неприятный пункт в бюллетене Oracle — сценарий эксплуатации. Атакующему не нужны логин, пароль или действие пользователя. Достаточно сетевого доступа по HTTP к затронутому компоненту. Успешная атака может привести к захвату PeopleSoft Enterprise PeopleTools. Оценка — CVSS 9.8 из 10, критический уровень.

PeopleSoft — корпоративная ERP-платформа Oracle. Её используют крупные организации для управления кадрами, зарплатами, финансами, кампусными системами, закупками и внутренними бизнес-процессами.

В университетах PeopleSoft часто связан со студентами, сотрудниками, оплатой, учетными записями, кадровыми данными, финансовыми операциями и внутренними порталами. В компаниях — с HR, payroll, финансами и поставщиками. Поэтому CVE-2026-35273 быстро стала одной из главных корпоративных уязвимостей недели. Она не требует авторизации, работает через сеть и затрагивает продукт, который часто стоит глубоко внутри больших организаций, но при этом может иметь внешне доступные интерфейсы.

SecurityWeek пишет, что Google подтвердила эксплуатацию CVE-2026-35273 группировкой ShinyHunters до выхода защитных мер Oracle. Целью была кража данных и дальнейшее вымогательство.

По данным профильных публикаций, Google/Mandiant уведомили более 100 организаций, чьи IP-адреса коррелировали с потенциально уязвимыми PeopleSoft-эндпоинтами. Большинство этих организаций находились в США, а около 68% относились к сектору высшего образования.

ShinyHunters, если верить публикациям с пересказом данных Google/Mandiant, заявляли о компрометации более 100 организаций и примерно 300 уязвимых экземпляров PeopleSoft. 

Oracle описывает CVE-2026-35273 как уязвимость в компоненте Updates Environment Management. Это служебная часть PeopleSoft Enterprise PeopleTools. Через нее атакующий с сетевым доступом по HTTP может скомпрометировать PeopleTools без логина и пароля.

ShinyHunters — известная киберпреступная группа, связанная с кражей данных и вымогательством. Ее имя появлялось в историях с утечками из крупных компаний, SaaS-сервисов и корпоративных систем.

В последние годы ShinyHunters часто упоминают рядом с более широким набором групп и брендов, включая Scattered Spider, Lapsus$-подобные операции и вымогательские кампании вокруг украденных данных. Схема обычно не сводится к классическому ransomware с шифрованием файлов. Часто цель — украсть данные, затем давить на жертву угрозой публикации.

PeopleSoft хорошо подходит под такую модель. Если атакующие получают доступ к ERP, им не нужно шифровать серверы, чтобы создать кризис. Достаточно скачать массив персональных, кадровых или финансовых данных и начать вымогательство.

Zero-day — это уязвимость, которую злоумышленники используют до выхода публичного исправления или официальных защитных мер. В этой истории Google подтверждает эксплуатацию до того, как Oracle выпустила Security Alert по CVE-2026-35273.

Теперь у атакующих есть CVE, описание затронутого компонента, версии, оценка критичности и понимание, куда смотреть. Даже те, кто не участвовал в первой волне атак, могут начать сканировать интернет в поисках уязвимых PeopleSoft-систем.