Intel·ligencia d'amenaçes Resposta a Incidents Zero-Day

Oracle PeopleSoft sota atac actiu: que significa CVE-2026-35273 i que cal fer ara

Si executeu Oracle PeopleSoft, aplicar el pedaç no es la vostra primera pregunta. Es la segona. Aquesta vulnerabilitat d'execucio de codi remot preautenticada va ser explotada com a zero-day durant aproximadament dues setmanes abans que Oracle publiques una correccio d'emergencia.

19 de juny de 2026 · 10 min de lectura · Equip Respond de DEFION

La versio curta

El 10 de juny de 2026, Oracle va publicar una alerta de seguretat fora de banda per a CVE-2026-35273: una RCE preautenticada de CVSS 9.8 a PeopleSoft Enterprise PeopleTools 8.61 i 8.62, explotada in the wild des de finals de maig. Aproximadament 300 instancies de mes de 100 organitzacions van ser afectades, dues terceres parts en l'educacio superior. Si el vostre PSEMHUB era accessible des d'internet durant aquell periode, assumiu el compromis i investigueu: el pedaç per si sol no es un certificat de salut.

El 10 de juny de 2026, Oracle va publicar una alerta de seguretat fora de banda per a CVE-2026-35273, una vulnerabilitat critica al component Updates Environment Management d'Oracle PeopleSoft Enterprise PeopleTools. La vulnerabilitat te una puntuacio CVSS v3.1 de 9.8 i es explotable de forma remota a traves de HTTP sense cap credencial i sense interaccio de l'usuari. Una explotacio exitosa dona a un atacant execucio de codi remot al servidor subjacent, en la practica, control total.

Tres coses fan que aquesta vulnerabilitat mereixi aturar altres tasques:

1. Era un zero-day. L'explotacio es va observar in the wild des de finals de maig de 2026, abans que existis cap correccio.
2. No requereix autenticacio i es accessible per xarxa. Qualsevol sistema exposat a internet es un objectiu potencial.
3. Afecta sistemes d'alt valor. PeopleSoft sustenta RRHH, nomines, finances i operacions universitaries: un compromis s'assenta directament sobre dades personals i financeres sensibles.

Com que l'explotacio va durar dues setmanes abans que existis la correccio, aplicar el pedaç es necessari pero no es un certificat de salut. Si els vostres endpoints de gestio estaven exposats durant aquell periode, el valor per defecte correcte es assumir el compromis i investigar, no assumir seguretat perque el pedaç ja esta installat.

Que esta afectat

Oracle llista les versions 8.61 i 8.62 de PeopleSoft Enterprise PeopleTools com a afectades. Les versions anteriors fora de suport probablement tambe son vulnerables, pero queden fora de l'abast de pedaços suportats per Oracle.

La vulnerabilitat es troba al component Environment Management, sovint anomenat Environment Management Hub o PSEMHUB. Es la infraestructura interna del cluster. Mai va ser pensat per ser accessible des de xarxes no fiables, que es exactament per que l'exposicio d'aquest component es tan greu.

El vector CVSS es AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. En termes plans: accessible per xarxa, complexitat d'atac baixa, sense privilegis, sense interaccio de l'usuari i impacte alt en confidencialitat, integritat i disponibilitat.

Com funciona l'atac

No es un unic error. Es una cadena, i entendre la cadena es el que us indica on trencar-la.

El Zero Day Initiative, que va rebre l'informe de TrendAI i el rastreja com ZDI-CAN-31817, classifica la vulnerabilitat arrel com a server-side request forgery (CWE-918). La sequencia completa, tal com la van reconstruir Mandiant i Trend Micro, funciona aproximadament aixi:

1 SSRF per eludir el control d'acces. Una peticio HTTP manipulada al listener de l'Integration Gateway a /PSIGW/HttpListeningConnector s'aprofita per fer que el servidor emeti una peticio interna de tipus loopback a l'endpoint de gestio a /PSEMHUB/hub. Com que la peticio ara sembla originar-se des de dins del cluster, l'autenticacio perimetral s'evita.
2 Deserialitzacio Java insegura. L'endpoint PSEMHUB processa l'entrada controlada per l'atacant a traves d'una rutina de deserialitzacio insegura basada en java.beans.XMLDecoder. Les signatures de deteccio del fabricant ho referencien com una deserialitzacio de dades no fiables HubMBeanPersistance.
3 Execucio de codi dins la JVM. La deserialitzacio es dirigeix cap a la creacio de processos, arribant finalment a ProcessBuilder i executant ordres del sistema operatiu amb els privilegis del servei Java de PeopleSoft.

El patro recorda la historia. El path del connector d'escolta /PSIGW/ ha aparegut anteriorment en investigacions d'exploits de PeopleSoft, incloent la cadena CVE-2013-3821 documentada per Lexfo el 2017 i el problema XXE relacionat CVE-2017-3548. L'Integration Gateway ha estat durant molt de temps un punt feble quan esta exposat.

Explotada in the wild, i per qui

Els informes publics atribueixen la campanya al grup d'extorsio ShinyHunters, rastrejat per Mandiant i Google Threat Intelligence Group com a UNC6240. L'explotacio es va observar des del 27 de maig de 2026 aproximadament i va continuar fins que el pedaç del 10 de juny d'Oracle va tancar la finestra.

L'escala i la segmentacio son notables. Mandiant informa que la campanya va arribar a aproximadament 300 instancies de PeopleSoft de mes de 100 organitzacions notificades, amb aproximadament dues terceres parts de les victimes al sector de l'educacio superior. Les dades robades durant la campanya van comenar a apareixer al lloc de filtracio de dades de ShinyHunters el 9 de juny de 2026, un dia abans de l'aviso public. La vulnerabilitat va ser afegida al cataleg de vulnerabilitats explotades conegudes de CISA a mitjans de juny, la qual cosa posa les agencies federals dels EUA en un rellotge de remediacio fix i es un senyal fort per a tothom.

Despres d'aconseguir un punt d'entrada, es va observar que els operadors:

→ Dipositaven webshells .jsp sota l'arrel web de PSEMHUB per a acces directe
→ Desplegaven MeshCentral com a mecanisme d'acces remot persistent
→ Desencadenaven connexions SMB sortints (TCP 445) des de l'amfitrio PeopleSoft a la infraestructura de l'atacant, capturant hashes NetNTLM del compte de maquina de Windows per al moviment lateral
→ Executaven eines de moviment lateral i exfiltraven dades, amb comprensio observada via zstd

Com saber si esteu afectats

Comenceu per l'exposicio, despres busqueu evidencies d'us.

Verificacio d'exposicio. Confirmeu si executeu PeopleTools a la linia 8.6x, i si /PSEMHUB/hub o /PSIGW/HttpListeningConnector son accessibles des d'internet o des de qualsevol segment de xarxa no fiable. L'accessibilitat externa d'aquests paths es el principal multiplicador de risc.

Indicadors de compromis a cercar:

→ Acces HTTP extern a /PSEMHUB/hub i /PSIGW/HttpListeningConnector en registres web i de proxy entre el 27 de maig i el 9 de juny de 2026
→ Peticions que contenen adreces de loopback (127.0.0.1, localhost, ::1) o rangs d'IP interns en capcaleres o parametres
→ Fitxers .jsp inesperats sota l'arrel web de PSEMHUB, o directoris anomals amb noms de camuflatge com ara logs, persistantstorage, scratchpad
→ Metadades XML modificades sota envmetadata/data/environment/
→ SMB sortint (TCP 445) des d'un servidor PeopleSoft cap a destinacions externes
→ Processos del SO engegats per la JVM de PeopleSoft, o qualsevol senyal de MeshCentral a l'amfitrio

Aplicar el pedaç tanca la porta, pero no us diu res sobre si algu ja hi va entrar durant la finestra de zero-day de dues setmanes. Si el vostre PSEMHUB estava exposat en aquell periode, no assumiu res i cerqueu indicadors.

Que cal fer, en ordre

1. Apliqueu el pedaç. Aquesta es la prioritat.

Apliqueu la correccio de l'alerta d'emergencia d'Oracle de juny de 2026 i la Critical Patch Update associada a totes les installacions de PeopleTools 8.61 i 8.62. Valideu primer en un entorn de proves, despres passeu a produccio rapidament. Confirmeu el pedaç exacte i el Doc ID a My Oracle Support: les correccions fora de banda es distribueixen alla.

2. Reduiu l'exposicio com a mitigacio temporal.