Google confirma mega ataque de hackers no Oracle PeopleSoft
5 mins read

Google confirma mega ataque de hackers no Oracle PeopleSoft

Redação0Tagged , , , , , ,

O Google confirmou que o grupo de extorsão conhecido como ShinyHunters explorou uma vulnerabilidade crítica no Oracle PeopleSoft antes que qualquer correção estivesse disponível. A informação foi divulgada pela Mandiant e pelo Google Threat Intelligence Group entre 27 de maio e 9 de junho de 2026, atualizando investigações sobre ataques que afetaram organizações em diversos países.

Segundo a Mandiant, os ataques foram atribuídos ao grupo monitorado como UNC6240, identificado como o mesmo responsável pelas operações do ShinyHunters. A descoberta indica que a campanha utilizou uma falha inédita no sistema, e não apenas vulnerabilidades antigas já conhecidas.

Falha crítica recebeu nota 9,8 de gravidade

A vulnerabilidade foi catalogada como CVE-2026-35273 e recebeu nota 9,8 em uma escala de 10 de gravidade.

O problema permite que invasores executem comandos remotamente nos servidores sem necessidade de autenticação ou interação da vítima. Para a exploração, basta que o sistema esteja acessível pela internet.

A falha está localizada no componente Environment Management Hub (PSEMHUB), utilizado pelo Oracle PeopleSoft. A Oracle confirmou que as versões 8.61 e 8.62 do PeopleTools são vulneráveis. Versões mais antigas, que já não recebem suporte oficial, também podem estar expostas ao problema.

O alerta oficial da Oracle foi publicado apenas em 10 de junho. Isso significa que os criminosos exploraram a vulnerabilidade durante semanas sem que a fabricante ou os usuários soubessem da sua existência, caracterizando um ataque do tipo zero-day.

Mais de 100 organizações foram notificadas

O Google informou ter notificado mais de 100 organizações ao redor do mundo sobre a possível exposição dos seus sistemas.

A maioria das instituições afetadas está nos Estados Unidos. Segundo a empresa, cerca de 68% dos alvos identificados pertencem ao setor de ensino superior.

Parte das organizações conseguiu bloquear as tentativas de invasão antes da exploração completa da falha. Outras, porém, tiveram seus sistemas comprometidos e dados roubados.

Pesquisadores também encontraram servidores utilizados pelos criminosos expostos na internet, o que permitiu identificar ferramentas e métodos empregados na campanha.

Como os ataques eram realizados

De acordo com a Mandiant, os invasores utilizaram softwares de acesso remoto disfarçados como ferramentas legítimas da Microsoft Azure.

O domínio usado para controlar os ataques, “azurenetfiles.net”, possuía nome semelhante a serviços oficiais da plataforma, estratégia que ajudava a dificultar a identificação das atividades maliciosas.

Após comprometer um servidor, os criminosos executavam um script chamado “[nome_da_vítima]_fanout.sh”. O programa tentava se espalhar pela rede utilizando credenciais conhecidas e, ao final da operação, deixava um arquivo com a mensagem “README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT”.

A Mandiant afirmou ainda que a campanha está diretamente ligada aos vazamentos publicados no portal de extorsão do ShinyHunters em 9 de junho.

Universidade de Nottingham está entre as vítimas

Uma das primeiras vítimas confirmadas é a Universidade de Nottingham, no Reino Unido.

O serviço Have I Been Pwned identificou aproximadamente 455 mil endereços de e-mail únicos entre os dados vazados. As informações expostas incluem nomes, endereços, números de telefone, passaportes e até dados relacionados à etnia e deficiência de estudantes e ex-alunos.

Segundo os investigadores, os dados foram posteriormente publicados pelo grupo criminoso após a invasão dos sistemas.

Oracle orienta medidas emergenciais

A Oracle publicou um alerta extraordinário de segurança, mas ainda não disponibilizou uma correção completa para a vulnerabilidade.

Enquanto o patch definitivo não é lançado, a recomendação é desativar o serviço Environment Management Hub ou, em ambientes com apenas um servidor, remover completamente o aplicativo PSEMHUB.

Para organizações que não podem adotar essas medidas imediatamente, a orientação é restringir o acesso externo aos endereços afetados e realizar verificações em busca de arquivos suspeitos ou alterações recentes relacionadas ao componente vulnerável.

Mudança de estratégia preocupa especialistas

O ShinyHunters afirma ter comprometido cerca de 300 sistemas PeopleSoft pertencentes a aproximadamente 100 organizações diferentes.

Especialistas apontam que a exploração direta de uma vulnerabilidade crítica em software corporativo representa uma mudança de estratégia do grupo, conhecido anteriormente por ataques baseados em engenharia social, golpes por telefone e roubo de credenciais em serviços de nuvem.

A nova abordagem demonstra interesse crescente em organizações que armazenam grandes volumes de dados pessoais e informações sensíveis.

Serviço

Vulnerabilidade: CVE-2026-35273

Sistema afetado: Oracle PeopleSoft (PeopleTools 8.61 e 8.62)

Gravidade: 9,8/10

Tipo de falha: Execução remota de código sem autenticação

Recomendação da Oracle: Desativar o Environment Management Hub (PSEMHUB) ou restringir o acesso externo ao componente

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Relacionados