Thought Leadership
Die Hackergruppe ShinyHunters nutzt eine Zero-Day-Lücke in Oracle PeopleSoft aus, um weltweit über 100 Organisationen anzugreifen.
Die cyberkriminelle Gruppierung ShinyHunters hat eine kritische Sicherheitslücke in der Unternehmenssoftware Oracle PeopleSoft als Zero-Day-Exploit ausgenutzt. Nach Angaben der Angreifer und übereinstimmenden Analysen von Sicherheitsforschern wurden weltweit mehr als 100 Organisationen über rund 300 verwundbare Systeminstanzen kompromittiert. Die Schwachstelle wird unter der Kennung CVE-2026-35273 geführt und betrifft die Komponente PeopleSoft Enterprise PeopleTools in den Versionen 8.61 und 8.62 sowie mutmaßlich ältere, nicht mehr unterstützte Versionen. Das System wird von Großunternehmen und Institutionen zur Verwaltung von Personalabteilungen, Gehaltsabrechnungen, Lieferketten und Studierendendaten eingesetzt.
Die Schwachstelle weist eine Risikobewertung von 9.8 auf der CVSS-Skala auf. Sie ermöglicht es entfernten Angreifern ohne vorherige Authentifizierung, über das HTTP-Protokoll Schadcode auszuführen und die vollständige Kontrolle über die betroffenen Server zu übernehmen. Die Angriffe fanden laut einem Bericht der Bedrohungsanalyse-Abteilung von Google zwischen dem 27. Mai und dem 9. Juni 2026 statt, also noch vor der offiziellen Bekanntgabe der Lücke durch den Hersteller. Google benachrichtigte die betroffenen Organisationen nach der Entdeckung der Aktivitäten. Rund 68 Prozent der angegriffenen Institutionen stammen aus dem Hochschulsektor, die Mehrheit davon mit Sitz in den Vereinigten Staaten.
Datenabfluss an der Universität Nottingham durch ShinyHunters
Als einer der ersten öffentlich bestätigten Schadensfälle gilt die University of Nottingham in Großbritannien. Da die Bildungseinrichtung die Lösegeldforderungen der Erpresser ablehnte, veröffentlichte die Gruppe die gestohlenen Daten auf ihrer Leak-Seite im Internet. Der entwendete Datensatz umfasst rund 40 Gigabyte an persönlichen Informationen und Abrechnungsdaten.
Eine Überprüfung durch den Benachrichtigungsdienst Have I Been Pwned ergab, dass die Veröffentlichung rund 455.000 eindeutige E-Mail-Adressen von aktuellen Studenten und Alumni enthält. Zudem befinden sich darunter Klarnamen, Telefonnummern, Postadressen, Passnummern sowie sensible Angaben zu Herkunft und Behinderungen. Ein Sprecher der Hackergruppe äußerte sich gegenüber den Medien zu dem aktuellen Status der Kampagne:
„Die University of Nottingham auf unserer Leak-Seite ist einer der ersten öffentlich bestätigten Vorfälle. Wir haben gerade erst mit der Kontaktaufnahme zu den betroffenen Organisationen begonnen und suchen aktiv nach einer Einigung mit den betroffenen Organisationen.“
Hackergruppe ShinyHunters
Notfallmaßnahmen des Herstellers und technische Schadensminderung
Die Universitätsleitung bestätigte den unbefugten Zugriff auf das studentische Registersystem und arbeitet seither mit nationalen Ermittlungsbehörden und Datenschutzaufsichten zusammen. Als Reaktion auf die aktiven Angriffe veröffentlichte Oracle am 10. Juni 2026 eine außerplanmäßige Sicherheitswarnung. Charles Carmakal, Technologiechef der Google-Sicherheitsabteilung Mandiant, bestätigte, dass die PeopleSoft-Lücke eine von zwei Schwachstellen sei, die derzeit intensiv ausgenutzt werden. Er teilte mit, dass Oracle vorläufige Schutzmaßnahmen bereitgestellt habe und vollwertige Updates bald folgen sollten. Der Hersteller empfiehlt Administratoren dringend, den Dienst Environment Management Hub vorerst zu deaktivieren oder den externen Zugriff auf betroffene Schnittstellen per Firewall vollständig zu blockieren.
(red)
