Серверы Oracle PeopleSoft оказались в центре крупной кампании по краже данных. Группа ShinyHunters или злоумышленники, работающие под этим именем, заявили о компрометации примерно 300 экземпляров PeopleSoft в более чем 100 организациях. Отдельное внимание к атаке привлекло заявление самих вымогателей: они утверждали, что одной из целей был PeopleSoft-портал ФБР.
Подтверждений успешного взлома систем ФБР в открытых официальных источниках нет.
Oracle выпустила внеплановое предупреждение по CVE-2026-35273. Это критическая уязвимость в PeopleSoft Enterprise PeopleTools с оценкой 9.8 из 10 по CVSS. Она позволяет удаленное выполнение кода без логина и без действий пользователя. Если уязвимый компонент доступен из сети, атакующему не нужен пароль сотрудника, фишинговое письмо или вредоносное вложение.
Google Mandiant и Google Threat Intelligence Group связывают активность с UNC6240 — так они отслеживают ShinyHunters. Кампания шла с 27 мая по 9 июня 2026 года. Уведомление Oracle появилось 10 июня, поэтому на момент атак уязвимость фактически использовалась как 0-day.
Участник м утверждал, что злоумышленники пытались использовать PeopleSoft-портал ФБР как заметную цель и площадку для демонстрации возможностей. Попытка, по словам самих атакующих, не дала нужного результата. Независимого подтверждения успешного проникновения в инфраструктуру ФБР нет.
BleepingComputer сообщил о массовых письмах с требованиями выкупа, которые начали получать клиенты Oracle PeopleSoft. Сообщения были подписаны ShinyHunters. Позже участник группы заявил, что атаки затронули более 100 организаций и около 300 инстансов PeopleSoft.
PeopleSoft — это корпоративная платформа, через которую крупные организации ведут HR-процессы, начисление зарплаты, финансы, закупки, управление студентами и внутренние административные операции. В университетах такие системы могут хранить данные студентов, преподавателей, сотрудников, учебных записей, адресов, контактов и внутренних заявок.
Первым публично заметным эпизодом стал Ноттингемский университет. Он подтвердил киберинцидент, а украденные данные появились на сайте утечек ShinyHunters. В открытых материалах упоминались данные студентов, включая адреса, телефоны, email и даты рождения.
CVE-2026-35273 находится в компоненте Updates Environment Management. В PeopleSoft этот контур связан с Environment Management Hub, или PSEMHUB. Он помогает управлять окружениями PeopleSoft, отслеживать компоненты, обновления и инфраструктурные связи.
Проблема критичная по трём причинам:
-
Атака идет по сети. Достаточно доступа к уязвимому HTTP/HTTPS-компоненту.
-
Аутентификация не нужна. Злоумышленнику не требуется логин администратора или учетка сотрудника.
-
Результатом может стать удаленное выполнение кода. Такой класс уязвимостей позволяет запускать команды или вредоносные инструменты на сервере, если эксплуатация проходит успешно.
Oracle указывает, что затронуты PeopleTools 8.61 и 8.62. Более ранние версии, которые уже вышли из активной поддержки, компания не проверяла, но предупреждает: они тоже, вероятно, могут быть уязвимы.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
