// HEISE ONLINE — CYBERSECURITY
Cybergang ShinyHunters attackiert Oracle-PeopleSoft-Schwachstelle
Die kriminelle Gruppe ShinyHunters greift die kritische Sicherheitslücke in Oracle PeopleSoft an, die zum Wochenende bekannt wurde.
Am Donnerstag vergangener Woche wurde eine kritische Codeschmuggel-Lücke in Oracle PeopleSoft bekannt. Die kriminelle Online-Bande ShinyHunters greift die Schwachstelle offenbar bereits an, warnen IT-Forscher. Auch die US-amerikanische IT-Sicherheitsbehörde CISA hat die Lücke in den „Known-Exploited-Vulnerabilities“-Katalog aufgenommen.
Oracle hatte außer der Reihe der üblichen vierteljährlichen „Critical Patch Updates“ (CPU) sowie der neuen, in den Monaten dazwischen eingeschobenen „Critical Security Patch Updates“ (CSPU) vor der Sicherheitslücke gewarnt. Sie betrifft demnach Oracle PeopleSoft PeopleTools und möglicherweise Oracle PeopleSoft Enterprise Applications. Details sind unklar, jedoch können Angreifer aus dem Netz ohne vorherige Anmeldung mit HTTP-Paketen Schadcode einschleusen und ausführen (CVE-2026-35273, CVSS 9.8, Risiko „kritisch“). Betroffen sind die Versionen PeopleSoft Enterprise PeopleTools 8.61 und 8.62, Updates verlinkt Oracle in der Sicherheitsmitteilung, sie sind nach Anmeldung zugänglich.
IT-Forscher von Googles Tochterunternehmen Mandiant haben eine Analyse zu den beobachteten Angriffen veröffentlicht. Demnach missbraucht die Cybergang ShinyHunters, auch als UNC6240 geführt, die Schwachstelle in Oracle PeopleSoft, um Systeme zu kompromittieren und die Betreiber um Lösegeld zu erpressen. Sie ziele auf Environment-Management-Hub-Endpoints (PSEMHUB). Die Angriffe laufen bereits seit dem 27. Mai 2026, ergänzen die IT-Forscher, es handelt sich also um den Missbrauch einer Zero-Day-Lücke.
Die Mandiant-Analysten haben eigenen Angaben zufolge weltweit mehr als 100 Organisationen kontaktiert, deren IP-Adressen mit verwundbaren Endpunkten korrelieren; ein Großteil liegt in den USA, etwas mehr als zwei Drittel davon im höheren Bildungswesen. Die IT-Forscher erörtern die Funde nach den Angriffen im Detail. Sie leiten daraus auch Gegenmaßnahmen ab, etwa die Zugriffsbeschränkung auf die Endpunkte „/PSEMHUB/*“, insbesondere „PSEMHUB/hub“ und „/PSIGW/HttpListeningConnector“ auf interne IP-Adressen – sofern das Deaktivieren des EMHub-Dienstes nicht in Frage kommt. Beschränkungen mit Web-Application-Firewalls seien unzureichend, da die sich überwinden ließen, erklären die IT-Forscher weiter. Admins sollen zudem Protokolldateien und Endpunkte überwachen und auf ausgehenden Traffic auf Port 445 achten. IT-Admins finden in der Analyse noch weiterreichende Hinweise auf erfolgreiche Angriffe (Indicators of Compromise, IOC), anhand derer sie ihre Systeme überprüfen können.
Ob Sicherheitslücken, Viren oder Trojaner – alle sicherheitsrelevanten Meldungen gibts bei heise security
Ausführliche Informationen zum Versandverfahren und zu Ihren
Widerrufsmöglichkeiten erhalten Sie in unserer
Datenschutzerklärung.
Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.