ShinyHunters explota una vulnerabilidad crítica en Oracle PeopleSoft

Fuentes: Cybergang ShinyHunters attackiert Oracle-PeopleSoft-Schwachstelle

El grupo cibercriminal ShinyHunters está atacando de forma activa la vulnerabilidad crítica detectada la semana pasada en Oracle PeopleSoft, según alertan los investigadores de Mandiant, filial de Google. La falla, identificada como CVE-2026-35273 y catalogada con una puntuación CVSS de 9,8, permite la inyección y ejecución remota de código sin autenticación previa mediante paquetes HTTP. Afecta a las versiones 8.61 y 8.62 de PeopleSoft Enterprise PeopleTools, así como, posiblemente, a las aplicaciones empresariales PeopleSoft. Oracle había publicado la advertencia fuera de su ciclo habitual de parches.

Mandiant, que rastrea al grupo también como UNC6240, sitúa el inicio de los ataques el 27 de mayo de 2026, lo que confirma el carácter de zero-day de la vulnerabilidad. Los ciberdelincuentes se centran en los endpoints del componente PSEMHUB (Environment Management Hub) para comprometer sistemas y exigir rescates. Los analistas han contactado a más de 100 organizaciones con direcciones IP vinculadas a endpoints vulnerables; la mayoría se encuentra en Estados Unidos y más de dos tercios pertenecen al sector de educación superior. La agencia estadounidense de ciberseguridad CISA ha incluido la falla en su catálogo de vulnerabilidades explotadas conocidas.

Mandiant recomienda restringir el acceso a las rutas PSEMHUB, especialmente PSEMHUB/hub y /PSIGW/HttpListeningConnector, limitándolo a direcciones IP internas cuando no sea posible desactivar el servicio EMHub. Los cortafuegos de aplicaciones web resultan insuficientes. También aconseja supervisar registros, endpoints y el tráfico saliente por el puerto 445, y revisar los indicadores de compromiso publicados en el informe.