Oracle PeopleSoft: Kritische Lücke CVE-2026-35273 gefährdet 100+ Organisationen
14.06.2026 - 12:46:44 | boerse-global.de
Mehr als 100 Organisationen weltweit wurden seit Ende Mai attackiert.
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat die Schwachstelle mit der Kennung CVE-2026-35273 in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen. Der Fehler mit einem CVSS-Score von 9,8 – der höchsten Risikostufe – ermöglicht Angreifern die vollständige Übernahme betroffener Systeme.
Kritische Schwachstelle in PeopleTools
Anzeige: Die kritische PeopleSoft-Lücke CVE-2026-35273 wird bereits von ShinyHunters und Cl0p ausgenutzt – mit einem CVSS-Score von 9,8. Ohne Patch müssen Sie jetzt handeln. Unser kostenloser Report liefert eine Sofort-Checkliste, Indikatoren-Kompromittierung und ein Notfall-Playbook. Jetzt kostenlosen Notfall-Report anfordern
Die Sicherheitslücke betrifft die Oracle PeopleTools Versionen 8.61 und 8.62, genauer gesagt die Komponente PSEMHUB. Das Problem: Es fehlt eine Authentifizierung (CWE-306), sodass Angreifer über HTTP-Anfragen an bestimmte Endpunkte unbemerkt in die Systeme eindringen können.
Oracle reagierte am 10. Juni 2026 mit einem Sicherheitshinweis und stellte Notfall-Maßnahmen bereit. Während vollständige Patches ausgerollt werden, empfehlen Sicherheitsexperten, den Zugriff auf die EMHub-Komponente sofort einzuschränken.
Hochschulen im Fokus der Angreifer
Die Kampagne wird von der Bedrohungsgruppe UNC6240 durchgeführt, die besser unter dem Namen ShinyHunters bekannt ist. Besonders betroffen: der akademische Sektor. Laut Branchenberichten sind 68 Prozent der angegriffenen Organisationen Hochschulen.
Die University of Nottingham bestätigte den Vorfall und meldete, dass 455.000 E-Mail-Adressen bei dem Angriff kompromittiert wurden. ShinyHunters, seit 2019 aktiv und bereits für Angriffe auf Großkonzerne verantwortlich, nutzt die gestohlenen Daten offenbar für Erpressungen. Es gibt zudem Hinweise, dass die Cl0p-Ransomware-Gruppe denselben Zero-Day-Exploit einsetzt.
Technische Angriffskette im Detail
Die Angreifer gingen äußerst raffiniert vor. Nach dem ersten Eindringen über unautorisierte Anfragen installierten sie MeshCentral-Agenten, die als legitime Azure-Dienste getarnt waren. Die Kommunikation mit den Kommando-Servern lief über die Domain azurenetfiles.net – ein Versuch, der Entdeckung zu entgehen.
Bei technischen Prüfungen kompromittierter Systeme fanden Ermittler unerwartete .jsp-Dateien und auffällige Aktivitäten in Verzeichnissen wie „persistantstorage", „logs" und „scratchpad". Der Datendiebstahl erfolgte per SSH unter Einsatz von zstd-Kompression, um große Datenmengen effizient abzutransportieren.
Die Analysten stellten zudem fest, dass die Gruppe Cloud-Fehlkonfigurationen, gestohlene OAuth-Tokens und Vishing-Techniken (Telefon-Phishing) nutzte, um sich innerhalb der Netzwerke seitwärts zu bewegen.
Anzeige: Hochschulen sind mit 68% der Angriffe das Hauptziel der ShinyHunters-Kampagne. Prüfen Sie Ihre PeopleSoft-Umgebung auf unerwartete .jsp-Dateien, MeshCentral-Agenten und SSH-Verbindungen mit zstd-Kompression. Unser Report zeigt die genauen Indikatoren und Gegenmaßnahmen. Indikatoren-Checkliste jetzt sichern
Frist für Behörden, Warnung an Unternehmen
CISA hat US-Bundesbehörden eine strikte Frist gesetzt: Bis zum 15. Juni 2026 müssen sie die Sicherheitsupdates einspielen oder die empfohlenen Schutzmaßnahmen umsetzen.
Auch private Organisationen – vor allem im Bildungs- und Forschungsbereich – werden dringend aufgefordert, ihre PeopleSoft-Umgebungen auf Kompromittierungs-Indikatoren zu prüfen und Oracles Sicherheitsempfehlungen umgehend umzusetzen. Die Gefahr weiterer Datendiebstähle ist akut.
