DeafNews
// 1 CRITICAL · 1 ZERO-DAY · 2 CVE · 4 EXPLOIT NELLE ULTIME 24H
Cybersecurity ZERO-DAY

Oracle PeopleSoft zero-day: ShinyHunters colpisce l'higher education

Published: Updated: By DeafSuite team 9 min read Cybersecurity
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
CVE-2026-35273 con CVSS 9.8 sfruttata da ShinyHunters dal 27 maggio. 100+ università colpite, MeshCentral e SSH spraying nella catena di attacco.
ShinyHunters ha condotto una campagna su larga scala contro piattaforme Oracle PeopleSoft nel settore higher education, sfruttando la zero-day CVE-2026-35273 almeno dal 27 maggio 2026, due settimane prima della patch Oracle del 10 giugno. L'attacco segna un'inflessione nel profilo operativo del gruppo, noto fino a ora principalmente per tattiche identity-centric di bassa complessità: credential stuffing, phishing e abuso di token OAuth. La novità non è la modalità di accesso iniziale, bensì la convergenza tra exploitation di vulnerabilità server-side in sistemi ERP on-premises e post-exploitation che sfrutta identità legittime per muoversi lateralmente.
Punti chiave
  • CVE-2026-35273 è una RCE non autenticata in Oracle PeopleSoft PeopleTools con CVSS 9.8; CISA l'ha inserita nel KEV catalog il 12 giugno 2026 con deadline 15 giugno 2026
  • Mandiant e Google Threat Intelligence Group hanno notificato oltre 100 organizzazioni, di cui il 68% nel settore higher education, identificando il cluster UNC6240
  • Gli attaccanti hanno distribuito agenti MeshCentral mascherati come servizi Azure, con C2 hardcoded su azurenetfiles.net, per accesso persistente ai server compromessi
  • Uno script fanout.sh ha automatizzato lo SSH credential spraying su host interni, abilitando lateral movement tramite credenziali hardcoded estratte dai sistemi vittima

La catena di attacco: da PeopleSoft al Data Leak Site

La timeline ricostruita da Google Threat Intelligence Group (GTIG) e Mandiant mostra una progressione metodica. La prima installazione del server MeshCentral C2 è stata osservata alle 22:14 UTC del 27 maggio 2026. Gli operatori hanno sfruttato CVE-2026-35273 per ottenere esecuzione di codice remoto su istanze Oracle PeopleSoft esposte a internet, in particolare PeopleTools 8.61 e 8.62, con Oracle che segnala versioni precedenti non più supportate come presumibilmente vulnerabili. La post-exploitation ha seguito uno schema ripetuto: distribuzione di agenti MeshCentral binari a 32 e 64 bit, rinominati rispettivamente "meshagent32-azure-ops.exe" e "meshagent64-azure-ops.exe", con connessione hardcoded al dominio azurenetfiles.net su WebSocket (wss://azurenetfiles.net:443/agent.ashx). La scelta di mascherare il tool di remote management open-source come componente Azure riduce la visibilità in ambienti che già utilizzano servizi Microsoft. La persistenza è stata affiancata da un meccanismo di lateral movement documentato nei log .bash_history dei server compromessi. Gli attaccanti hanno scritto e eseguito script denominati con il pattern [victim_abbreviation]_fanout.sh, che effettuavano parsing di /etc/hosts e SSH credential spraying tramite sshpass con credenziali hardcoded. L'analisi tecnica di Rescana e il report GTIG convergono su questa metodologia, indicando un approccio identity-driven anche dopo l'accesso iniziale via vulnerabilità software. I dati esfiltrati sono stati pubblicati sul Data Leak Site di ShinyHunters il 9 giugno 2026, un giorno prima dell'advisory Oracle. L'Università di Nottingham ha confermato il breach, con circa 455.000 email uniche esposte secondo il monitoraggio Have I Been Pwned citato da The Hacker News. Il dato è parziale: non emergono cifre aggregate per le altre vittime, e il dossier non specifica la natura completa dei dati rubati al di là degli identificativi di contatto.

Perché l'identità è diventata il campo di battaglia

La campagna PeopleSoft si inserisce in un pattern più ampio che SecurityWeek ha documentato come caratteristico di ShinyHunters: "stolen credentials, compromised OAuth tokens, social engineering, vishing, and abuse of legitimate access privileges". La fonte rileva che "attackers do not necessarily need malware or zero-day exploits" — una constatazione che rende l'exploitation di CVE-2026-35273 un'eccezione significativa piuttosto che la norma. La lettura tecnica è che il gruppo stia maturando. I target ERP on-premises, tradizionalmente considerati al di fuori del perimetro di attenzione dei cybercriminali financialmente motivati, offrono accesso a dataset ricchi con un'architettura spesso meno monitorata rispetto agli ambienti cloud-native. Il passaggio da "log in" a "break in", per usare la formula di SecurityWeek, non abbandona l'identità come vettore primario: la integra con accesso iniziale via software vulnerability, poi sfrutta identità e trust relationships per espandere la compromise. Il meccanismo del fanout script è esemplare: non è una vulnerabilità zero-day, ma l'abuso di credenziali valide già presenti nei sistemi. La segmentazione di rete tradizionale fallisce quando l'attaccante si muove con SSH key o password memorizzate in file di configurazione, e quando il primo hop è un server ERP connesso a directory service e database studenti.
"A server-side zero-day in on-premises ERP software is a step up from that, aimed at the same data-rich targets"

Cosa rende critica la zero-day PeopleSoft

CVE-2026-35273 ha ricevuto un punteggio CVSS 9.8 dal National Vulnerability Database, con vettore AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. La configurazione indica una vulnerabilità sfruttabile via rete senza autenticazione, con bassa complessità di attacco e impatto totale su confidenzialità, integrità e disponibilità. La versione affette indicate sono PeopleTools 8.61 e 8.62; Oracle segnala che versioni precedenti non supportate sono presumibilmente vulnerabili. La criticità è amplificata dalla natura del software target. PeopleSoft è un ERP centrale per gestione finanziaria, risorse umane e registrazione studenti in centinaia di istituzioni higher education. La sua esposizione a internet, spesso necessaria per portali studenti e accesso remoto personale, crea una superficie d'attacco che le difese perimetrali tradizionali non coprono adeguatamente quando la vulnerabilità è nel codice applicativo stesso. CISA ha aggiunto il CVE al Known Exploited Vulnerabilities catalog il 12 giugno 2026, con richiesta di remediation entro il 15 giugno 2026 per le agenzie federali statunitensi. La velocità di inserimento nel KEV — due giorni dall'advisory — riflette la conferma di exploitation attiva e la criticità del settore colpito.

Domande aperte sull'evoluzione di ShinyHunters

Il dossier lascia non risolti interrogativi strategici. The Hacker News riporta la formulazione di Mandiant: "The open question is whether this was a one-off borrowed zero-day or the start of ShinyHunters moving into ERP exploitation". La stessa fonte solleva il problema dell'attribuzione tecnica: se CVE-2026-35273 sia stata sviluppata o acquisita direttamente dal gruppo, oppure ottenuta tramite supply chain di exploit o partnership con altri operatori. L'attribuzione a UNC6240, il tracking designator di Mandiant, non risolve completamente questa incertezza. UNC6240 è classificato come cluster di attività, non necessariamente identico all'intero gruppo ShinyHunters. La sovrapposizione operativa — uso dello stesso Data Leak Site, stessi IoC, stessa metodologia di fanout — supporta l'identificazione, ma non esclude strutture affiliate o temporanee. La discrepanza tra il pattern storico identity-centric e l'exploitation zero-day ERP suggerisce due letture alternative. La prima: ShinyHunters sta acquisendo capability APT-like, possibilmente tramite reclutamento o acquisizione di exploit, in un mercato dell'estorsione sempre più competitivo. La seconda: il gruppo ha identificato un'opportunità specifica nel settore education — sistemi legacy, budget di sicurezza limitati, dati monetizzabili — e ha investito risorse in un vettore di accesso una tantum. Il dossier non contiene elementi per privilegiare una delle due ipotesi.

Cosa fare adesso

Le azioni prioritarie emergono direttamente dai fatti documentati nel brief. Le istituzioni che eseguono Oracle PeopleSoft devono verificare la presenza delle versioni affette — PeopleTools 8.61 e 8.62 — e consultare l'advisory Oracle del 10 giugno 2026, tenendo conto che la documentazione completa della patch richiede login al support Oracle. Per le versioni non supportate, la valutazione del rischio è necessaria anche in assenza di patch ufficiale. Il monitoring deve concentrarsi sugli indicatori di compromissione documentati: binari MeshCentral con nome pattern "meshagent*-azure-ops.exe", connessioni outbound verso azurenetfiles.net, e script con naming pattern [abbreviazione]_fanout.sh in directory temporanee o home directory di utenti di servizio. La ricostruzione GTIG indica che questi artefatti sono presenti nei log .bash_history e nelle connessioni di rete. La verifica delle credenziali SSH memorizzate in file di configurazione e in script automatizzati è prioritaria per limitare il lateral movement via credential spraying. Il fanout script analizzato da GTIG e Rescana estrae attivamente credenziali da /etc/hosts e file di sistema per replicarsi su host interni. Infine, le organizzazioni nel settore higher education devono considerare la priorità CISA KEV come segnale di rischio elevato: il 15 giugno 2026 è la deadline federale per remediation, e l'exploitation attiva confermata indica che il vettore è operativo e non teorico.

L'evoluzione documentata di ShinyHunters non è una transizione da cybercrimine a APT, ma un'ibridazione che rende la distinzione sempre meno operativa per chi difende i sistemi. Quando un gruppo financialmente motivato acquista o sviluppa zero-day server-side e li affianca a tattiche identity-centric mature, il perimetro di sicurezza si sposta definitivamente: non più firewall e vulnerability scanner, ma identità, comportamento e trust relationships tra sistemi che già legittimamente comunicano.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Sul tema

  • Gravity SMTP: 17M attacchi sfruttano bug info-disclosure
  • ZDI-26-358: Allegra patcha XSS nel metodo downloadAttachment
  • X.Org Server UAF CVE-2026-34001: escalation locale a root su Linux

Fonti

Fonti e riferimenti
  1. securityweek.com
  2. itsecuritynews.info
  3. esentire.com
  4. rescana.com
  5. govtech.com
  6. cybersecuritydive.com
  7. time.com
  8. nvd.nist.gov
  9. thehackernews.com
  10. cloud.google.com