🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A equipe de extorsão do ShinyHunters explorou uma falha não corrigida no Oracle PeopleSoft para invadir sistemas corporativos, roubar dados e exigir pagamento para mantê-los privados. A campanha atingiu mais duramente as universidades.
O Mandiant do Google atribui isso ao grupo que rastreia como UNC6240 e data a atividade entre 27 de maio e 9 de junho. A Oracle não publicou seu comunicado até 10 de junho, então o bug foi de dia zero o tempo todo.
A falha, CVE-2026-35273, é um bug de execução remota de código no PeopleSoft Enterprise PeopleTools com classificação 9,8 em 10. Não precisa de login nem interação do usuário, apenas acesso à rede via HTTP, para assumir o controle do servidor. Se você executar o PeopleSoft com o Environment Management Hub acessível de fora, essa será a sua exposição, e a medida imediata será bloquear esses endpoints.
A vulnerabilidade está no componente Updates Environment Management, a peça por trás do Environment Management Hub (PSEMHUB). A Oracle lista o PeopleTools 8.61 e 8.62 como afetado e disse anteriormente que as versões não suportadas provavelmente também são vulneráveis. Ele dá crédito aos pesquisadores da TrendAI Zero Day Initiative e da TrendAI Research pelo relatório.
O CTO da Mandiant, Charles Carmakal, confirmou que o bug está sendo explorado em estado selvagem; A Oracle não disse se viu exploração. Seu comunicado aponta para um documento de disponibilidade de patch por trás de um login de suporte, e não está claro se uma correção completa está amplamente disponível. Por enquanto, a orientação centra-se na mitigação.
O detalhe operacional tornou-se público porque os atacantes deixaram seus próprios equipamentos expostos. O pesquisador @nahamike01 sinalizou publicamente os diretórios abertos. A Mandiant então fez a triagem de cinco endereços IP sequenciais executando o servidor SimpleHTTP do Python na porta 8888. Esses servidores expuseram os arquivos de teste: um .bash_history compartilhado, agentes de gerenciamento remoto MeshCentral personalizados disfarçados de binários do Microsoft Azure e um script de movimento lateral.
Os agentes ligaram para um servidor de comando e controle em azurenetfiles.net, um domínio escolhido para se parecer com o Azure NetApp Files. O script, chamado [victim]_fanout.sh, se espalha pelo SSH espalhando uma lista codificada de nomes de usuário e senhas em hosts internos extraídos de /etc/hosts e, em seguida, coloca um arquivo marcador chamado README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT nos diretórios PeopleSoft. O histórico de comandos mostra os dados compactados com zstd e uma conexão SSH de saída para o servidor que hospeda o espelho público do site de vazamento do ShinyHunters.
A Mandiant notificou mais de 100 organizações cujos endereços IP correspondiam a endpoints vulneráveis. Sessenta e oito por cento estavam no ensino superior, a maioria deles nos Estados Unidos. Alguns bloquearam a atividade; outros foram comprometidos e tiveram dados publicados no local do vazamento.
A Universidade de Nottingham é uma das primeiras vítimas confirmadas. Have I Been Pwned contou cerca de 455.000 endereços de e-mail exclusivos no conjunto vazado, abrangendo alunos e ex-alunos atuais, com nomes, endereços, números de telefone, números de passaporte e detalhes sobre etnia e deficiências. A universidade confirmou a violação.
A orientação da Oracle é desabilitar o serviço Environment Management Hub em configurações de vários servidores ou remover completamente o aplicativo PSEMHUB em configurações de servidor único. Se você não puder fazer isso, bloqueie o acesso externo a /PSEMHUB/* (especialmente /PSEMHUB/hub) e /PSIGW/HttpListeningConnector no perímetro.
Mandiant alerta que as regras de fiscalização corporal do WAF por si só não são suficientes, pois podem ser contornadas. A restrição desses endpoints não interrompe as sessões normais do usuário.
Em seguida, procure sinais de um compromisso existente:
Logs de acesso do WebLogic mostrando solicitações POST externas para /PSEMHUB/hub ou /PSIGW/HttpListeningConnector.
Arquivos .jsp inesperados no diretório do aplicativo da web PSEMHUB.war ou pastas estranhas chamadas logs, persistantstorage ou scratchpad nos caminhos PSEMHUB.
Arquivos .xml alterados recentemente no envmetadata/data/environment da raiz do documento da web, que podem ser abusados para persistência do XMLDecoder que é acionado na próxima reinicialização.
Tráfego SMB de saída na porta 445 de hosts PeopleSoft para destinos externos, que a cadeia de exploração pode usar para capturar hashes NetNTLM de contas de máquina.
Aplique a atualização da Oracle para sua versão do PeopleTools assim que confirmar que ela está disponível no My Oracle Support.
ShinyHunters diz que o alcance das vítimas apenas começou e não publicou a maioria das organizações que afirma, então é provável que haja mais nomes.
O método é o que mais importa. ShinyHunters ultimamente tem se apoiado em vishing, tokens roubados e controles de acesso fracos para roubar dados de plataformas SaaS e educacionais, de clientes Salesforce a Canvas. Um dia zero do lado do servidor em software ERP local é um avanço em relação a isso, voltado para os mesmos alvos ricos em dados.
A questão em aberto é se este foi um empréstimo de dia zero único ou o início da transição dos ShinyHunters para a exploração de ERP.
encontrado
O Mandiant do Google atribui isso ao grupo que rastreia como UNC6240 e data a atividade entre 27 de maio e 9 de junho. A Oracle não publicou seu comunicado até 10 de junho, então o bug foi de dia zero o tempo todo.
A falha, CVE-2026-35273, é um bug de execução remota de código no PeopleSoft Enterprise PeopleTools com classificação 9,8 em 10. Não precisa de login nem interação do usuário, apenas acesso à rede via HTTP, para assumir o controle do servidor. Se você executar o PeopleSoft com o Environment Management Hub acessível de fora, essa será a sua exposição, e a medida imediata será bloquear esses endpoints.
A vulnerabilidade está no componente Updates Environment Management, a peça por trás do Environment Management Hub (PSEMHUB). A Oracle lista o PeopleTools 8.61 e 8.62 como afetado e disse anteriormente que as versões não suportadas provavelmente também são vulneráveis. Ele dá crédito aos pesquisadores da TrendAI Zero Day Initiative e da TrendAI Research pelo relatório.
O CTO da Mandiant, Charles Carmakal, confirmou que o bug está sendo explorado em estado selvagem; A Oracle não disse se viu exploração. Seu comunicado aponta para um documento de disponibilidade de patch por trás de um login de suporte, e não está claro se uma correção completa está amplamente disponível. Por enquanto, a orientação centra-se na mitigação.
O detalhe operacional tornou-se público porque os atacantes deixaram seus próprios equipamentos expostos. O pesquisador @nahamike01 sinalizou publicamente os diretórios abertos. A Mandiant então fez a triagem de cinco endereços IP sequenciais executando o servidor SimpleHTTP do Python na porta 8888. Esses servidores expuseram os arquivos de teste: um .bash_history compartilhado, agentes de gerenciamento remoto MeshCentral personalizados disfarçados de binários do Microsoft Azure e um script de movimento lateral.
Os agentes ligaram para um servidor de comando e controle em azurenetfiles.net, um domínio escolhido para se parecer com o Azure NetApp Files. O script, chamado [victim]_fanout.sh, se espalha pelo SSH espalhando uma lista codificada de nomes de usuário e senhas em hosts internos extraídos de /etc/hosts e, em seguida, coloca um arquivo marcador chamado README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT nos diretórios PeopleSoft. O histórico de comandos mostra os dados compactados com zstd e uma conexão SSH de saída para o servidor que hospeda o espelho público do site de vazamento do ShinyHunters.
A Mandiant notificou mais de 100 organizações cujos endereços IP correspondiam a endpoints vulneráveis. Sessenta e oito por cento estavam no ensino superior, a maioria deles nos Estados Unidos. Alguns bloquearam a atividade; outros foram comprometidos e tiveram dados publicados no local do vazamento.
A Universidade de Nottingham é uma das primeiras vítimas confirmadas. Have I Been Pwned contou cerca de 455.000 endereços de e-mail exclusivos no conjunto vazado, abrangendo alunos e ex-alunos atuais, com nomes, endereços, números de telefone, números de passaporte e detalhes sobre etnia e deficiências. A universidade confirmou a violação.
A orientação da Oracle é desabilitar o serviço Environment Management Hub em configurações de vários servidores ou remover completamente o aplicativo PSEMHUB em configurações de servidor único. Se você não puder fazer isso, bloqueie o acesso externo a /PSEMHUB/* (especialmente /PSEMHUB/hub) e /PSIGW/HttpListeningConnector no perímetro.
Mandiant alerta que as regras de fiscalização corporal do WAF por si só não são suficientes, pois podem ser contornadas. A restrição desses endpoints não interrompe as sessões normais do usuário.
Em seguida, procure sinais de um compromisso existente:
Logs de acesso do WebLogic mostrando solicitações POST externas para /PSEMHUB/hub ou /PSIGW/HttpListeningConnector.
Arquivos .jsp inesperados no diretório do aplicativo da web PSEMHUB.war ou pastas estranhas chamadas logs, persistantstorage ou scratchpad nos caminhos PSEMHUB.
Arquivos .xml alterados recentemente no envmetadata/data/environment da raiz do documento da web, que podem ser abusados para persistência do XMLDecoder que é acionado na próxima reinicialização.
Tráfego SMB de saída na porta 445 de hosts PeopleSoft para destinos externos, que a cadeia de exploração pode usar para capturar hashes NetNTLM de contas de máquina.
Aplique a atualização da Oracle para sua versão do PeopleTools assim que confirmar que ela está disponível no My Oracle Support.
ShinyHunters diz que o alcance das vítimas apenas começou e não publicou a maioria das organizações que afirma, então é provável que haja mais nomes.
O método é o que mais importa. ShinyHunters ultimamente tem se apoiado em vishing, tokens roubados e controles de acesso fracos para roubar dados de plataformas SaaS e educacionais, de clientes Salesforce a Canvas. Um dia zero do lado do servidor em software ERP local é um avanço em relação a isso, voltado para os mesmos alvos ricos em dados.
A questão em aberto é se este foi um empréstimo de dia zero único ou o início da transição dos ShinyHunters para a exploração de ERP.
encontrado
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #shinyhunters #explora #oracle #peoplesoft #zeroday #(cve202635273) #para #violar #universidades
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário