DeafNews
// 2 ZERO-DAY · 5 CVE · 3 EXPLOIT NELLE ULTIME 24H
Cybersecurity ZERO-DAY

Nissan: breach payroll via zero-day Oracle PeopleSoft

Published: Updated: By DeafSuite team 8 min read Cybersecurity
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Nissan Americas ha confermato l'esposizione di dati payroll e SSN di dipendenti in quattro Paesi tramite CVE-2026-35273, zero-day in Oracle PeopleSoft sfruttato da

Nissan Americas ha depositato il 27 giugno 2026 una notifica presso il Procuratore Generale della California, confermando che dati personali di dipendenti sono stati esposti tra il 27 maggio e il 9 giugno. L'intrusione ha sfruttato CVE-2026-35273, una vulnerabilità zero-day in Oracle PeopleSoft PeopleTools con punteggio CVSS 9.8, nel pieno di una campagna che ha colpito oltre cento organizzazioni e circa trecento istanze PeopleSoft a livello globale. Perché questo caso segnala un punto di svolta: il sistema di gestione risorse umane di una delle maggiori case automobilistiche del mondo è diventato il veicolo per un furto di identità su scala industriale, con dati che non possono essere revocati come una password.

Punti chiave
  • Nissan Americas ha notificato ufficialmente una violazione del 27 maggio-9 giugno 2026 che ha esposto SSN, record fiscali, dati bancari e informazioni su beneficiari di dipendenti negli Stati Uniti, Canada, Messico e Brasile.
  • CVE-2026-35273, con CVSS 9.8 secondo il National Vulnerability Database, consente esecuzione remota di codice non autenticata tramite HTTP nel componente Environment Management Hub di PeopleTools, versioni 8.61 e 8.62.
  • Mandiant/Google Threat Intelligence ha confermato che l'attività di ShinyHunters (identificato come UNC6240) ha preceduto l'avviso Oracle del 10 giugno, documentando lo sfruttamento in condizioni di zero-day.
  • La CISA ha inserito la vulnerabilità nel catalogo Known Exploited Vulnerabilities con scadenza per la remediation fissata al 15 giugno 2026, segnalando priorità federale.

Il meccanismo: un endpoint HTTP senza autenticazione diventa chiave d'accesso

Secondo il record ufficiale CVE pubblicato dal NVD, CVE-2026-35273 risiede in una mancata verifica di autenticazione nel componente Environment Management Hub (EMHub) di PeopleSoft PeopleTools. Il componente, progettato per la gestione centralizzata di ambienti PeopleSoft, espone un endpoint HTTP raggiungibile dalla rete senza prerequisiti di autenticazione. L'assenza del controllo identificativo come CWE-306 consente a un attaccante remoto di eseguire codice arbitrario con privilegi equivalenti al servizio applicativo.

L'advisory tecnico di Rescana dettaglia che le versioni interessate sono la 8.61 e la 8.62 del software Oracle. Il vettore di attacco è interamente network-based: la metrica CVSS 3.1 riporta vettore di accesso di rete, complessità di attacco bassa, nessun privilegio richiesto, nessuna interazione utente necessaria, con impatto totale su confidenzialità, integrità e disponibilità. Questa configurazione rende la vulnerabilità sfruttabile in modo automatizzabile su larga scala.

Mandiant/Google ha verificato che gli attori della minaccia hanno concatenato CVE-2026-35273 con vulnerabilità Oracle più vecchie e già patchate per elevare i privilegi e aggirare la segmentazione di rete, stabilendo quindi accesso persistente tramite web shell. La sequenza conferma un modello operativo non di exploit isolato, ma di catena strutturata per la penetrazione profonda in sistemi ERP.

La cronologia Nissan: quando l'attore chiama "evento informatico" e il FAQ dice "sconosciuto"

Le fonti convergenti — il deposito presso il Procuratore Generale della California riportato da Gadget Review e la notifica ai dipendenti vista da The Register — tracciano una linea temporale precisa. L'attività malevola nel sistema Nissan si colloca tra il 27 maggio e il 9 giugno 2026. Oracle ha notificato a Nissan "un evento informatico che coinvolgeva i record del personale di centinaia di aziende", secondo il testo del deposito legale citato da The Register. Nissan ha quindi avviato la notifica individuale ai dipendenti.

Emerge tuttavia una dissonanza interna significativa. Il FAQ aziendale per i dipendenti, citato testualmente da The Register, attribuisce l'incidente a "an unknown vulnerability in Oracle's PeopleSoft software" — una vulnerabilità sconosciuta — a settimane dalla pubblica divulgazione del CVE e dall'avviso Oracle. Questa formulazione, se letta in prospettiva di conformità normativa, solleva interrogativi sulla velocità di propagazione delle informazioni di threat intelligence tra vendor e clienti enterprise, nonostante la severità critica del caso.

I dati dichiarati come esposti comprendono: numeri di identificazione nazionale inclusi SSN e SIN canadesi; informazioni di contatto; dati bancari; record finanziari e fiscali; dettagli su dipendenti e beneficiari. La geografia dell'impatto copre quattro paesi — Stati Uniti, Canada, Messico e Brasile — indicando che l'ambiente PeopleSoft compromesso gestiva payroll transnazionale.

ShinyHunters e la campagna globale: oltre cento organizzazioni, una firma operativa

Mandiant/Google Threat Intelligence ha confermato l'attribuzione dello sfruttamento zero-day al cluster di attività UNC6240, associato al gruppo ShinyHunters. La dichiarazione ufficiale riporta che "l'attività è consistente con lo sfruttamento di CVE-2026-35273" e che "questa attività precede l'avviso Oracle del 10 giugno 2026: la vulnerabilità è stata sfruttata come zero-day". Il verbo è indicativo, non condizionale: si tratta di conferma tecnica, non di correlazione ipotetica.

La portata della campagna è quantificata in termini convergenti ma non identici tra le fonti. Mandiant/Google ha notificato oltre cento organizzazioni potenzialmente colpite. Gadget Review, citando dati di campo, riporta circa trecento istanze PeopleSoft compromesse a livello globale. Questi numeri, pur provenendo da metodologie diverse — notifiche di intelligence contro rilevamenti tecnici — indicano una superficie di attacco estesa nel tessuto delle medie e grandi imprese.

Il National Association of Insurance Commissioners (NAIC) è stato confermato come vittima nella stessa campagna da SecurityWeek, sebbene il gruppo abbia parzialmente ritratto le proprie affermazioni sui volumi di dati. Rescana menziona un coinvolgimento di Cl0p, tuttavia questa affermazione non trova riscontro nelle fonti primarie disponibili e rimane non corroborata.

Cosa fare adesso

Verificare la patch status su PeopleTools 8.61 e 8.62. L'advisory Oracle del 10 giugno 2026 ha reso disponibile la correzione; le istanze esposte a internet devono essere considerate prioritarie per l'applicazione, con scadenza CISA KEV al 15 giugno.

Isolare o restringire l'accesso all'Environment Management Hub. Se l'applicazione della patch non è immediatamente realizzabile, la restriczione dell'EMHub a network segmentati o accesso VPN rappresenta mitigazione indicata dalle fonti tecniche.

Rivisionare la presenza di web shell e accessi persistenti. La catena di attacco documentata da Mandiant prevede installazione di web shell post-exploitation; la sola applicazione della patch senza verifica di compromissione pregressa lascia residuo di accesso attore.

I dipendenti Nissan monitorare credito e identità. L'azienda ha comunicato l'erogazione di servizi di monitoraggio del credito e sorveglianza dark web; l'attivazione di questi servizi è raccomandata data l'irreversibilità dell'esposizione di numeri di previdenza sociale.

"the activity is consistent with the exploitation of CVE-2026-35273... this activity predates Oracle's June 10, 2026 advisory, the vulnerability was exploited as a zero-day" — Mandiant/Google Threat Intelligence

Perché il FAQ Nissan dice ancora "sconosciuto": un segnale di sistema

La persistenza della formulazione "vulnerabilità sconosciuta" nel materiale interno Nissan, a distanza di settimane dalla pubblicazione del CVE e dall'inserimento nel catalogo CISA, non è anomalia isolata. Riflette la latenza strutturale nella traduzione di intelligence di threat in linguaggio operativo per la comunicazione al personale non tecnico. Più significativamente, indica che il gap tra disclosure tecnica e percezione organizzativa del rischio resta misurabile in cicli di settimane, anche per aziende con capacità di risposta istituzionali consolidate.

L'incidente posiziona i sistemi ERP di gestione del personale in una categoria di rischio distinta dai tradizionali target di ransomware. I database payroll contengono dati con vita utile decennale — SSN non soggetti a rotazione, record fiscali con valore per frodi a lungo termine — che trascendono il modello di impatto immediato tipico del crittografia file. L'assenza di un meccanismo di revoca per questa classe di informazioni rende l'esposizione definitiva per i soggetti interessati, indipendentemente dalle misure di contenimento successive adottate dall'organizzazione.

Per le imprese che mantengono istanze PeopleSoft esposte, la campagna documentata da Mandiant rappresenta un punto di riferimento: lo sfruttamento zero-day non è ipotetico ma verificato, la superficie di attacco è identificata, la scadenza federale è trascorsa o imminente. Il margine per l'azione preventiva si è ristretto a un intervallo misurato in giorni.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Approfondimenti correlati

  • ZDI-26-397: UAF in X.Org Server, rischio escalation locale
  • CVE-2026-48558: Djinn Stealer sfruttato in-the-wild su SimpleHelp
  • DirtyClone, la quarta variante nella famiglia DirtyFrag

Fonti

Fonti e riferimenti
  1. securityweek.com
  2. gadgetreview.com
  3. theregister.com
  4. rescana.com
  5. nvd.nist.gov
  6. helpnetsecurity.com