De criminele groepering ShinyHunters heeft sinds 27 mei misbruik gemaakt van een kritieke kwetsbaarheid in Oracle PeopleSoft waar op het moment van de aanvallen nog geen patch voor beschikbaar was, zo stelt Google in een analyse. Oracle kwam op 10 juni met een noodpatch voor het beveiligingslek (CVE-2026-35273), maar maakte in het beveiligingsbulletin nergens melding van actief misbruik.

Via de kwetsbaarheid kan een ongeauthenticeerde aanvaller het Oracle PeopleSoft-systeem overnemen. "De kwetsbaarheid treft Oracle PeopleSoft Enterprise PeopleTools en is met name misbruikbaar wanneer de PeopleSoft Environment Management Hub (PSEMHUB) vanaf het internet bereikbaar is. Het is gebruikelijk om dergelijke beheercomponenten uitsluitend via interne netwerken of een VPN toegankelijk te maken", aldus het Nationaal Cyber Security Centrum (NCSC).

PeopleSoft is een enterprise resource planning (ERP) software suite voor allerlei zakelijke toepassingen, zoals HR, financiën, salarisadministratie en supply chain management. Het kan dan ook allerlei persoonlijke en vertrouwelijke informatie bevatten. Google ontdekte meerdere open directories op de servers die ShinyHunters voor het uitvoeren van de aanvallen gebruikte. Zo kreeg het techbedrijf inzicht in de operatie en ontdekte dat het probleem sinds 27 mei als zeroday werd misbruikt, aldus de analyse.

Voor de ontdekking van de open directories zegt Google dat het, naar aanleiding van scans en waargenomen succesvolle aanvallen, meer dan honderd organisaties waarschuwde voor kwetsbare endpoints, voornamelijk onderwijsinstellingen. "Een aantal organisaties blokkeerde de aanvallen of verhielp de kwetsbaarheden, anderen werden gehackt, wat leidde tot de publicatie van gestolen data op de website van ShinyHunters", aldus Google. De criminele groepering liet zelf weten dat het driehonderd Oracle PeopleSoft-servers van zo'n honderd organisaties heeft gehackt. Als slachtoffers geen losgeld betalen dreigen de criminelen gestolen data op internet te publiceren.