Oracle PeopleSoft actief aangevallen: wat CVE-2026-35273 betekent en wat u nu moet doen

Op 10 juni 2026 publiceerde Oracle een out-of-band beveiligingswaarschuwing voor CVE-2026-35273, een kritiek lek in de Updates Environment Management-component van Oracle PeopleSoft Enterprise PeopleTools. De kwetsbaarheid heeft een CVSS v3.1-score van 9.8 en is op afstand via HTTP uitbuitbaar zonder enige authenticatie en zonder gebruikersinteractie. Bij succesvolle exploitatie verkrijgt een aanvaller remote code execution op de onderliggende server, wat in de praktijk neerkomt op volledige controle.

Drie aspecten maken dit een prioriteit waarvoor u ander werk laat liggen:

• 1. Het was een zero-day. Exploitatie werd in het wild waargenomen vanaf eind mei 2026, voordat er een fix bestond.
• 2. Het is niet-geauthenticeerd en via het netwerk bereikbaar. Alles wat via het internet toegankelijk is, is een potentieel doelwit.
• 3. Het raakt systemen met hoge waarde. PeopleSoft vormt de basis voor HR, salarisadministratie, financien en campus-operaties. Een compromittering geeft direct toegang tot gevoelige persoons- en financiele gegevens.

Omdat de exploitatie twee weken lang plaatsvond voordat de fix beschikbaar was, is het installeren van de patch noodzakelijk maar geen bewijs van veiligheid. Als uw management-endpoints tijdens dat tijdvenster bereikbaar waren, is de juiste uitgangspositie: ga uit van een compromittering en ga op zoek. Vertrouw niet op de aanname dat u veilig bent omdat de patch nu geinstalleerd is.

Wat is getroffen

Oracle noemt PeopleSoft Enterprise PeopleTools versies 8.61 en 8.62 als getroffen. Oudere, niet meer ondersteunde versies zijn waarschijnlijk ook kwetsbaar, maar vallen buiten het officiele patchbereik van Oracle.

Het lek bevindt zich in de Environment Management-component, ook wel aangeduid als de Environment Management Hub of PSEMHUB. Dit is interne clusterinfrastructuur. Deze was nooit bedoeld om bereikbaar te zijn vanuit onvertrouwde netwerken, en dat is precies waarom blootstelling ervan zo schadelijk is.

De CVSS-vector is AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. In gewone taal: bereikbaar via het netwerk, lage aanvalscomplexiteit, geen bevoegdheden vereist, geen gebruikersinteractie nodig, en hoge impact op vertrouwelijkheid, integriteit en beschikbaarheid.

Hoe de aanval werkt

Dit is geen enkelvoudig lek. Het is een keten, en het begrijpen van die keten laat u zien waar u hem kunt doorbreken.

Het Zero Day Initiative, dat het rapport ontving van TrendAI en het bijhoudt als ZDI-CAN-31817, classificeert de onderliggende zwakte als een server-side request forgery (CWE-918). De volledige aanvalsketen, zoals gereconstrueerd door Mandiant en Trend Micro, verloopt ruwweg als volgt:

1. 1 SSRF voor omzeiling van toegangscontrole. Een speciaal samengesteld HTTP-verzoek aan de Integration Gateway-listener op /PSIGW/HttpListeningConnector wordt misbruikt om de server een intern loopback-verzoek te laten sturen naar het management-endpoint op /PSEMHUB/hub. Omdat het verzoek nu afkomstig lijkt te zijn vanuit het cluster zelf, wordt de perimeterauthenticatie omzeild.
2. 2 Onveilige Java-deserialisatie. Het PSEMHUB-endpoint verwerkt door de aanvaller gecontroleerde invoer via een onveilige deserialisatieroutine gebaseerd op java.beans.XMLDecoder. Leveranciersdetectiesignaturen verwijzen hiernaar als een HubMBeanPersistance-deserialisatie van niet-vertrouwde gegevens.
3. 3 Code-uitvoering binnen de JVM. De deserialisatie wordt gestuurd richting het aanmaken van processen, wat uiteindelijk resulteert in het bereiken van ProcessBuilder en het uitvoeren van besturingssysteemopdrachten met de rechten van de PeopleSoft Java-service.

Het patroon vertoont gelijkenissen met eerdere incidenten. Het /PSIGW/-listening connector-pad is eerder opgedoken in PeopleSoft-exploitonderzoek, waaronder de CVE-2013-3821-keten die in 2017 door Lexfo werd gedocumenteerd en het gerelateerde XXE-lek CVE-2017-3548. De Integration Gateway is al lange tijd een zwak punt wanneer deze blootgesteld is.

Actief uitgebuit, en door wie

Publiek beschikbare rapportages schrijven de campagne toe aan de afpersingsgroep ShinyHunters, bijgehouden door Mandiant en Google Threat Intelligence Group als UNC6240. Exploitatie werd waargenomen vanaf 27 mei 2026 en duurde voort totdat de patch van Oracle op 10 juni het venster sloot.

De schaal en de doelwitten zijn opmerkelijk. Mandiant rapporteert dat de campagne circa 300 PeopleSoft-instanties bij meer dan 100 genotificeerde organisaties bereikte, waarvan ruwweg tweederde in de sector hoger onderwijs. Gegevens die tijdens de campagne werden gestolen, verschenen op 9 juni 2026 op de dataleksite van ShinyHunters, een dag voor het publieke advies. De kwetsbaarheid werd medio juni toegevoegd aan de CISA Known Exploited Vulnerabilities-catalogus, wat Amerikaanse federale instanties op een vaste hersteltermijn zet en voor alle anderen een sterk signaal is.

Na het verkrijgen van een voet aan de grond werden de aanvallers waargenomen terwijl zij:

• → .jsp-webshells plaatsten onder de PSEMHUB-webroot voor directe toegang
• → MeshCentral inzetten als persistent mechanisme voor externe toegang
• → Uitgaande SMB-verbindingen (TCP 445) initieerden vanaf de PeopleSoft-host naar aanvallersinfrastructuur, waarmee Windows-machineaccount NetNTLM-hashes voor laterale beweging werden onderschept
• → Tooling voor laterale beweging inzetten en gegevens exfiltreerden, waarbij compressie via zstd werd waargenomen

Hoe bepaalt u of u getroffen bent

Begin met de blootstellingsvraag en ga vervolgens op zoek naar bewijs van gebruik.

Blootstellingscheck. Bevestig of u PeopleTools in de 8.6x-lijn gebruikt, en of /PSEMHUB/hub of /PSIGW/HttpListeningConnector bereikbaar zijn via het internet of vanuit een onvertrouwd netwerksegment. Externe bereikbaarheid van deze paden is de voornaamste risicovermenigvuldiger.

Indicatoren van compromittering om op te zoeken:

• → Extern HTTP-verkeer naar /PSEMHUB/hub en /PSIGW/HttpListeningConnector in web- en proxylogs tussen 27 mei en 9 juni 2026
• → Verzoeken met loopback-adressen (127.0.0.1, localhost, ::1) of interne IP-bereiken in headers of parameters
• → Onverwachte .jsp-bestanden onder de PSEMHUB-webroot, of afwijkende mappen met camouflerende namen zoals logs, persistantstorage, scratchpad
• → Gewijzigde XML-metadata onder envmetadata/data/environment/
• → Uitgaand SMB-verkeer (TCP 445) van een PeopleSoft-server naar externe bestemmingen
• → OS-processen gestart door de PeopleSoft JVM, of enig spoor van MeshCentral op de host

Wat u moet doen, in volgorde