Oracle PeopleSoft Zero-day RCE Ransomware 4 min lectura

ShinyHunters explota un zero-day en Oracle PeopleSoft y compromete más de 100 universidades

CVE-2026-35273 permite ejecución remota de código sin autenticación en PeopleTools 8.61 y 8.62. CISA lo agregó al catálogo KEV con plazo de remediación al 15 de junio y confirmó que ya se usa en campañas de ransomware.

IP
IPSecureNetwork
June 14, 2026

Contexto del incidente

El 12 de junio de 2026, la CISA agregó CVE-2026-35273 a su catálogo Known Exploited Vulnerabilities (KEV) con un plazo de remediación que vence el 15 de junio, apenas tres días después. La vulnerabilidad afecta al componente Updates Environment Management de Oracle PeopleSoft Enterprise PeopleTools, en sus versiones 8.61 y 8.62, y fue clasificada con CVSS 3.1 de 9.8 crítico (vector AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, CWE-306: Missing Authentication for Critical Function). Oracle publicó el advisory el 10 de junio, pero para entonces el grupo ShinyHunters ya había completado la fase de exfiltración en decenas de víctimas.

El ataque aprovecha dos endpoints HTTP que la mayoría de las implementaciones exponen en producción: /PSEMHUB/hub y /PSIGW/HttpListeningConnector. Un POST malformado a cualquiera de estos paths, sin credenciales ni interacción del usuario, ejecuta código arbitrario con los privilegios del usuario de aplicación. Una vez adentro, los atacantes despliegan una variante customizada de MeshCentral que se disfraza de servicios legítimos de Azure, comunicándose vía WebSocket Secure contra wss://azurenetfiles.net:443/agent.ashx. La herramienta de línea de comando meshctrl.js se usa para enumerar hosts, recolectar credenciales y mapear la red interna, extrayendo archivos sensibles como psappsrv.cfg y config.xml que luego permiten nuevos saltos laterales.

El sector más golpeado es el de educación superior: según el análisis de Rescana, más de 100 organizaciones fueron comprometidas entre fines de mayo y principios de junio, con un 68% correspondiente a instituciones académicas en Estados Unidos, y el resto distribuido entre Europa, Asia y Australia. La elección del target no es casual: las universidades almacenan PII de estudiantes, datos de investigación y a menudo operan ERPs PeopleSoft legacy que llevan años sin mantenimiento. El movimiento lateral se realiza con un script [victim_abbreviation]_fanout.sh que hace credential spraying por SSH con contraseñas administrativas comunes, y la exfiltración comprime los archivos con zstd antes de enviarlos por SSH a infraestructura controlada por el atacante. La marca de defacement en cada host comprometido es el archivo README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT.

Un RCE pre-auth en un ERP que maneja nóminas, legajos de estudiantes y datos financieros no es una vulnerabilidad más: es un atajo directo a todo el dominio.

¿Cómo proteger tu infraestructura?

1. Aplicá el parche de Oracle y restringí los endpoints PSEMHUB/PSIGW

El advisory de Oracle incluye el parche para PeopleTools 8.61 y 8.62. En entornos donde no podés desplegarlo de inmediato, bloqueá el acceso a /PSEMHUB/hub y /PSIGW/HttpListeningConnector desde redes no confiables en tu WAF o reverse proxy. Si esos endpoints no son necesarios, mejor deshabilitarlos directamente.

2. Buscá IoCs en logs y archivos del servidor PeopleSoft

Revisá los logs de acceso en busca de POSTs sospechosos a las rutas mencionadas desde IPs externas, y verificá que no existan archivos .jsp no autorizados en <PS_CFG_HOME>/webserv/<domain>/applications/peoplesoft/PSEMHUB.war/. La presencia de README-IF-YOU-SEE-THIS-YOUVE-BEN-HACKED.TXT en cualquier host es indicador de compromiso confirmado.

3. Auditar credenciales SSH y segmentar la red del ERP

El spraying de credenciales por SSH fue el vector de movimiento lateral, así que rotá todas las claves SSH de servidores que convivan con el PeopleSoft y revisá ~/.ssh/authorized_keys en busca de entradas no documentadas. El servidor de PeopleSoft no debería poder alcanzar libremente al resto de la red interna: ponelo en una VLAN segmentada con reglas de egress estrictas.

4. Monitorear tráfico de salida hacia C2 conocido

Los IoCs de red incluyen el dominio azurenetfiles.net y el rango 142.11.200.186 a 142.11.200.190. Bloqueá esos destinos en el firewall perimetral y generá alertas por cualquier conexión saliente hacia ellos desde tu segmento de ERPs. Lo mismo con los strings DontRevokeOrItGoesBoom y TheBeautifulSandsOfTime, que aparecen en la configuración del agente MeshCentral desplegado.

Indicadores de compromiso (IoC)

Para Splunk, Elastic o cualquier SIEM que ingiera logs HTTP, estas son las detecciones mínimas que recomendá implementar ya:

  • Dominio C2: azurenetfiles.net (vía DNS sinkhole o blocklist de egress)
  • Rango IP C2: 142.11.200.186/31 y 142.11.200.188/30
  • Endpoints vulnerables: /PSEMHUB/hub, /PSIGW/HttpListeningConnector
  • Archivo de defacement: README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT
  • Path de MeshCentral: binarios del agente en paths no estándar bajo PSEMHUB.war/
  • Strings únicos del C2: DontRevokeOrItGoesBoom, TheBeautifulSandsOfTime, firedalazer
# Regla Snort/Suricata para detectar intentos de explotación
alert http any any -> $HOME_NET any (msg:"PSEMHUB PSIGW CVE-2026-35273 exploit attempt";
  flow:to_server,established; http_method; content:"POST";
  http_uri; content:"/PSEMHUB/hub"; http_uri;
  classtype:attempted-admin; sid:2026352731; rev:1;)

# Bloquear C2 en iptables
iptables -A OUTPUT -d 142.11.200.186 -j DROP
iptables -A OUTPUT -d 142.11.200.187 -j DROP
iptables -A OUTPUT -d azurenetfiles.net -j DROP

# Buscar el archivo de defacement en todo el filesystem PeopleSoft
find /opt/oracle/psft -name "README-IF-YOU-SEE-THIS-YOUVE-BEN-HACKED.TXT" 2>/dev/null

🛡️ ¿Tu ERP está expuesto a Internet?

En IPSecureNetwork hacemos auditorías de exposición en ERPs empresariales y validamos la postura frente a vulnerabilidades explotadas activamente. Si administrás PeopleSoft, SAP o cualquier ERP accesible desde la red, este es el momento de revisar los endpoints y la segmentación antes de que aparezca el próximo ShinyHunters.

SOLICITAR AUDITORÍA →