El grupo de extorsión ShinyHunters (identificado por Mandiant como UNC6240) ha explotado activamente una vulnerabilidad crítica de día cero en Oracle PeopleSoft para comprometer sistemas empresariales y exfiltrar datos. Aunque el foco inicial han sido instituciones educativas de gran escala, el impacto es global para cualquier organización que utilice esta plataforma ERP. El ataque ha resultado en la filtración de información sensible de miles de usuarios, incluyendo datos de identidad y registros personales.
La falla, catalogada como CVE-2026-35273, es una vulnerabilidad de ejecución remota de código (RCE) en el componente PeopleSoft Enterprise PeopleTools, específicamente en el Environment Management Hub. Con una calificación de criticidad de 9.8 sobre 10, este error permite a un atacante tomar el control total del servidor a través de solicitudes HTTP, sin necesidad de credenciales previas ni interacción del usuario. Las versiones afectadas incluyen PeopleTools 8.61 y 8.62, así como versiones anteriores sin soporte oficial que probablemente también sean vulnerables.
El vector de ataque se centra en la exposición del Environment Management Hub (PSEMHUB) a internet. Una vez que los atacantes logran el acceso inicial, despliegan agentes de gestión remota personalizados, camuflados como binarios de Microsoft Azure, para realizar movimientos laterales mediante scripts que prueban credenciales en otros hosts internos vía SSH. También se ha detectado el uso de técnicas para capturar hashes de cuentas de máquina mediante tráfico SMB saliente en el puerto 445.
Para mitigar este riesgo, es imperativo deshabilitar el servicio Environment Management Hub o restringir por completo el acceso externo a las rutas /PSEMHUB/* y /PSIGW/HttpListeningConnector a nivel de red. Oracle ya ha publicado avisos de seguridad que enlazan a los parches correspondientes en su portal de soporte. Se recomienda además realizar una búsqueda activa de indicadores de compromiso, como archivos .jsp inesperados en los directorios de la aplicación o registros de acceso WebLogic con peticiones POST inusuales hacia las rutas mencionadas.
Qué significa para tu empresa: Este incidente subraya la importancia de contar con una visibilidad total de los activos expuestos y una defensa proactiva. En Ingeniería Telemática S.A.S. entendemos que las aplicaciones críticas requieren protección avanzada; por ello, la implementación de un firewall perimetral NGFW es vital para filtrar el tráfico malicioso y bloquear intentos de explotación de vulnerabilidades antes de que estas alcancen el núcleo de su infraestructura tecnológica.
Fuente original: The Hacker News — ver artículo →