Am Donnerstag vergangener Woche wurde eine kritische Codeschmuggel-Lücke in Oracle PeopleSoft bekannt. Die kriminelle Online-Bande ShinyHunters greift die Schwachstelle offenbar bereits an, warnen IT-Forscher. Auch die US-amerikanische IT-Sicherheitsbehörde CISA hat die Lücke in den „Known-Exploited-Vulnerabilities“-Katalog aufgenommen.
Oracle hatte außer der Reihe der üblichen vierteljährlichen „Critical Patch Updates“ (CPU) sowie der neuen, in den Monaten dazwischen eingeschobenen „Critical Security Patch Updates“ (CSPU) vor der Sicherheitslücke gewarnt. Sie betrifft demnach Oracle PeopleSoft PeopleTools und möglicherweise Oracle PeopleSoft Enterprise Applications. Details sind unklar, jedoch können Angreifer aus dem Netz ohne vorherige Anmeldung mit HTTP-Paketen Schadcode einschleusen und ausführen (CVE-2026-35273, CVSS 9.8, Risiko „kritisch“). Betroffen sind die Versionen PeopleSoft Enterprise PeopleTools 8.61 und 8.62, Updates verlinkt Oracle in der Sicherheitsmitteilung, sie sind nach Anmeldung zugänglich.
Erpressungskampagne setzt auf Oracle-Schwachstelle
IT-Forscher von Googles Tochterunternehmen Mandiant haben eine Analyse zu den beobachteten Angriffen veröffentlicht. Demnach missbraucht die Cybergang ShinyHunters, auch als UNC6240 geführt, die Schwachstelle in Oracle PeopleSoft, um Systeme zu kompromittieren und die Betreiber um Lösegeld zu erpressen. Sie ziele auf Environment-Management-Hub-Endpoints (PSEMHUB). Die Angriffe laufen bereits seit dem 27. Mai 2026, ergänzen die IT-Forscher, es handelt sich also um den Missbrauch einer Zero-Day-Lücke.
