Jeśli twoja organizacja używa Oracle PeopleSoft z komponentem Environment Management Hub (PSEMHUB) osiągalnym z zewnątrz — to jest twoja ekspozycja i natychmiastowy ruch to odciąć te endpointy. Zastosuj awaryjny komunikat Oracle dla CVE-2026-35273. Dotyczy PeopleTools 8.61 i 8.62; wcześniejsze niewspierane wersje są prawdopodobnie też podatne. Przeszukaj logi wstecz co najmniej do 27 maja — bo eksploatacja trwała na długo przed komunikatem.
Wskaźniki kompromitacji: połączenia z pięcioma kolejnymi adresami IP 142.11.200.186–190, agent MeshCentral podszywający się pod usługi Azure, plik README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT w katalogach PeopleSoft, oraz wychodzący ruch SMB na port 445 z hostów PeopleSoft.
11 czerwca Mandiant i Google Threat Intelligence Group ujawniły aktywną kampanię włamań i wymuszeń wymierzoną w infrastrukturę Oracle PeopleSoft. CVE-2026-35273 — niewymagające uwierzytelnienia zdalne wykonanie kodu, CVSS 9.8. Eksploatacja trwała między 27 maja a 9 czerwca. Oracle wydało komunikat dopiero 10 czerwca. To znaczy, że przez cały czas trwania kampanii była to luka zero-day — każde włamanie nastąpiło, zanim istniała jakakolwiek oficjalna informacja o problemie.
Atrybucja: UNC6240, publicznie znana jako ShinyHunters. Skala: około 300 instancji PeopleSoft w ponad 100 organizacjach. A 68% ofiar to sektor szkolnictwa wyższego — uniwersytety i uczelnie, w większości w USA. Pierwszą potwierdzoną ofiarą jest University of Nottingham.
To jest drugi raz w ciągu tygodnia, gdy edukacja jest celem ataku przez system ERP. Ale tym razem mechanizm jest inny — i to jest sedno tej historii.
Nie dostawca SaaS — własny serwer uczelni
Kilka dni temu opisywaliśmy breach Oxfordu przez CareerConnect, gdzie tezą było: celem nie jest uczelnia, tylko jej dostawca SaaS. Jeden dostawca jako pojedynczy punkt awarii dla całego sektora.
PeopleSoft to odwrotny przypadek tej samej kategorii ryzyka. To nie jest platforma SaaS hostowana przez dostawcę — to jest system ERP, który uczelnia wdraża i prowadzi u siebie. PeopleSoft pełni rolę kręgosłupa ERP w uczelniach, szpitalach i agencjach rządowych, konsolidując akta kadrowe, dane płacowe, informacje finansowe i dane administracyjne studentów w jeden zintegrowany system. To wszystko siedzi na serwerze, którym zarządza sama instytucja.
Dwa różne modele, ten sam sektor, ten sam tydzień, ta sama lekcja: ERP edukacyjny — czy to jako SaaS, czy on-premise — jest celem o wysokiej wartości, bo skupia w jednym miejscu dane całej populacji studentów i pracowników. Przy Oxfordzie wyciekły imiona, maile i hasła. Tutaj stawką są akta kadrowe, płace, dane finansowe i pełne rekordy studentów. ShinyHunters wiedzieli, gdzie celować.
Jak działa atak — i dlaczego „bez logowania" jest kluczowe
CVE-2026-35273 siedzi w komponencie Updates Environment Management, konkretnie w Environment Management Hub (PSEMHUB). Mechanizm jest tak groźny, jak brzmi: luka pozwala na zdalne wykonanie kodu bez żadnego logowania i bez interakcji użytkownika — wystarczy dostęp sieciowy przez HTTP, by przejąć serwer.
To znaczy, że każda instancja PeopleSoft z podatną wersją i osiągalnym z zewnątrz PSEMHUB była wystawiona od momentu, gdy ShinyHunters zaczęli używać exploita. Nie trzeba było wykraść poświadczeń, nie trzeba było phishingu na pracownika — wystarczyło, że endpoint był dostępny z internetu.
Jest tu szczegół techniczny wart odnotowania, bo pokazuje, że to nie był pojedynczy błąd. Mechanizm to „gadget chain" — technika łącząca wiele podatności, zestawiająca nowo odkryty zero-day CVE-2026-35273 ze starszymi znanymi lukami, by uzyskać efekt, którego żaden z komponentów nie daje samodzielnie. Ścieżka URI /PSIGW/HttpListeningConnectorwidoczna we wskaźnikach kompromitacji pojawia się też w łańcuchu exploita dla CVE-2013-3821 sprzed dekady. Atakujący połączyli nowy błąd ze starymi, dobrze udokumentowanymi — i z tego złożenia powstał działający, masowy atak bez uwierzytelnienia.
Co robili po wejściu
Łańcuch po uzyskaniu dostępu jest pouczający, bo pokazuje rzemiosło grupy nastawionej na wymuszenie, nie na cichą obecność.
Dla utrzymania kontroli ShinyHunters wdrażali dostosowaną wersję MeshCentral — otwartoźródłowej platformy do zdalnego zarządzania — podszywając ją pod legalne usługi Microsoft Azure. Agenci łączyli się z serwerem dowodzenia pod adresem azurenetfiles.net, domeną dobraną tak, by wyglądać jak Azure NetApp Files. To jest ten sam wzorzec maskowania pod zaufaną usługę, który widzieliśmy przy Miasmie podszywającej się pod Red Hata i FortiClient EMS udającym aktualizację Fortinet.
Skrypt o nazwie [ofiara]_fanout.sh rozprzestrzeniał się przez SSH, ostrzeliwując zaszytą na stałe listę nazw użytkowników i haseł przeciwko wewnętrznym hostom wyciągniętym z /etc/hosts, a następnie zostawiał plik-znacznik README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT w katalogach PeopleSoft. Skradzione dane kompresowano narzędziem zstd i wyprowadzano przez wychodzące połączenie SSH do serwera hostującego publiczne lustro strony wycieków ShinyHunters. 9 czerwca skradzione archiwa zostały opublikowane na tej stronie.
Plik-znacznik jest sygnaturą modelu działania grupy: to nie jest cicha kradzież, to jest wymuszenie z elementem publicznego upokorzenia. ShinyHunters łączą kradzież danych ze stylem wymuszenia rodem z ransomware — najpierw kradną, potem grożą publikacją, a brak zapłaty kończy się wystawieniem danych na stronie wycieków.
Mitygacja, nie pełna łatka — na aktywnie eksploatowany 9.8
Tu jest punkt, który warto nazwać wprost, bo łączy ten incydent z naszym stałym wątkiem o łataniu.
Oracle wydało awaryjny komunikat poza cyklem, ale — według analiz — zatrzymał się on przed dostarczeniem pełnej łatki na aktywnie eksploatowaną lukę. To jest mitygacja i wskazówki konfiguracyjne, nie kompletna poprawka zamykająca podatność u źródła. Na błąd o ocenie 9.8, eksploatowany masowo przez tygodnie przed jakimkolwiek komunikatem.
To jest ta sama sytuacja, którą opisywaliśmy przy zero-dayu Exchange — okno, w którym obrońca ma tymczasową mitygację, ale nie trwałe rozwiązanie, a atakujący ma działający exploit. CISA dodała CVE-2026-35273 do katalogu Known Exploited Vulnerabilities 13 czerwca. Oznaczenie „znana eksploatowana" to potwierdzenie tego, co Mandiant udokumentował: to nie jest ryzyko teoretyczne, to jest atak w toku.
Dlaczego edukacja — znów
Warto postawić pytanie, które samo się nasuwa: dlaczego 68% ofiar to uczelnie?
Odpowiedź jest strukturalna i pisaliśmy o niej przy Oxfordzie oraz Wirtualnej Uczelni. Uczelnie przechowują dane o wysokiej wartości — dane osobowe, finansowe, kadrowe całej populacji studentów i pracowników — przy budżetach na bezpieczeństwo zwykle niższych niż w sektorze finansowym czy obronnym. To czyni je celem o korzystnym stosunku wartości łupu do trudności włamania. Dodatkowo PeopleSoft jest w edukacji rozpowszechniony, więc jeden zero-day w tym systemie przekłada się od razu na dużą liczbę dostępnych celów w jednym sektorze.
Cytat z analizy CSO Online ujmuje wniosek dla każdego, kto prowadzi ERP: firmy muszą ponownie ocenić bezpieczeństwo i kontrole swojego ERP i dostosować je, bo są wystawione. ERP przestał być nudnym systemem wewnętrznym, o którym nikt nie myśli. Stał się celem pierwszego wyboru, bo to w nim leży wszystko, co dla atakującego ma wartość.
Co zrobić
Zastosuj awaryjny komunikat Oracle dla CVE-2026-35273 i pozostań na aktywnie wspieranych wersjach PeopleSoft z wszystkimi Critical Patch Update. Pamiętaj, że to mitygacja — śledź komunikaty Oracle pod kątem pełnej łatki i zastosuj ją natychmiast, gdy się pojawi.
Odetnij PSEMHUB od dostępu z zewnątrz. Jeśli Environment Management Hub jest osiągalny z internetu, to jest twoja powierzchnia ataku — ogranicz go do sieci wewnętrznej lub za VPN.
Przeszukaj środowisko wstecz co najmniej do 27 maja. Skoro eksploatacja trwała przed komunikatem, zastosowanie mitygacji dziś nie wyklucza, że jesteś już skompromitowany. Szukaj wskaźników: połączenia z 142.11.200.186–190, agent MeshCentral udający Azure, domena azurenetfiles.net, plik README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT, wychodzący SMB na port 445 (exploit może go używać do przechwytywania hashy NetNTLM kont maszynowych).
Zbadaj dostęp uprzywilejowany, włącz pełne logowanie i wzmocnij monitoring pod kątem nieautoryzowanych instalacji MeshCentral. Jeśli znajdziesz ślady — traktuj to jako pełną kompromitację z eksfiltracją, nie pojedynczy incydent.
Źródła
The Hacker News — szczegóły łańcucha ataku, skrypt fanout i potwierdzone ofiary: https://thehackernews.com/2026/06/shinyhunters-exploits-oracle-peoplesoft.html
Rapid7 — analiza endpointów PSEMHUB i powiązanie ze starszym łańcuchem CVE-2013-3821: https://www.rapid7.com/blog/post/etr-active-exploitation-of-oracle-peoplesoft-zero-day-cve-2026-35273/
CSO Online — wdrożenie MeshCentral, adresy IOC i kontekst bezpieczeństwa ERP: https://www.csoonline.com/article/4184408/oracle-peoplesoft-zero-day-fuels-shinyhunters-extortion-spree.html
Cyber Security News — oś czasu zero-day, eksfiltracja zstd i zakres wersji PeopleTools: https://cybersecuritynews.com/oracle-peoplesoft-0-day-rce-vulnerability/
DailySecurityReview — technika gadget chain i mitygacja zamiast pełnej łatki: https://dailysecurityreview.com/resources/oracle-peoplesoft-cve-2026-35273-shinyhunters-breaches-100-orgs/
Security Affairs — oświadczenie Google/Mandiant i potwierdzenie wersji 8.61/8.62: https://securityaffairs.com/193543/cyber-crime/oracle-peoplesoft-rce-flaw-used-as-zero-day-in-ongoing-shinyhunters-campaign.html
Nie nowy atak, tylko naprawiony błąd. Co łatka Gemini CLI mówi o tym, że tryb –yolo w potoku CI/CD to nie jest dobry pomysł