Zero-day in Oracle PeopleSoft: ShinyHunters colpisce 100 organizzazioni, università nel mirino
La CVE-2026-35273 (gravità 9.8) in Oracle PeopleSoft è stata sfruttata come zero-day dal gruppo ShinyHunters: circa 300 istanze e 100 organizzazioni colpite, il 68% università. Oltre 455.000 email nel leak.

Una falla da 9.8 su 10
Una vulnerabilità critica in Oracle PeopleSoft è stata sfruttata come zero-day per settimane. Identificata come CVE-2026-35273, è un difetto di esecuzione di codice remoto in PeopleTools con punteggio di gravità 9.8 su 10: non richiede credenziali né interazione dell'utente, basta l'accesso di rete via HTTP per prendere il controllo del server.
Chi c'è dietro e la cronologia
Dietro la campagna c'è il gruppo estorsivo ShinyHunters, che Mandiant (Google) traccia come UNC6240. L'attività risale al periodo tra il 27 maggio e il 9 giugno, ma Oracle ha pubblicato l'avviso solo il 10 giugno: per tutto quel tempo la falla è rimasta un vero zero-day. Gli aggressori affermano di aver colpito circa 300 istanze PeopleSoft appartenenti a 100 organizzazioni.
Nessuna password, nessun clic: bastava raggiungere il server dalla rete.
Le università nel mirino
Il dato più pesante riguarda l'istruzione: il 68% delle vittime è nel settore universitario, in gran parte statunitense. Tra i primi casi confermati c'è l'Università di Nottingham. Il servizio Have I Been Pwned ha contato circa 455.000 indirizzi email nei dati trafugati, relativi a studenti attuali ed ex, con nomi, indirizzi, numeri di telefono, numeri di passaporto e informazioni sensibili come etnia e disabilità. Colpiti anche l'ente regolatore assicurativo NAIC e, in un filone collegato, dati di dipendenti Nissan.
Cosa fare, subito
La priorità è applicare senza indugio la patch di Oracle e verificare se le istanze PeopleSoft siano state esposte a Internet nelle settimane critiche. Vanno cercati segni di compromissione, ruotate le credenziali e i segreti applicativi, e informati gli utenti i cui dati possono essere finiti nel leak.
Aggiornare immediatamente PeopleTools; isolare dall'esposizione pubblica i sistemi ERP; monitorare gli accessi anomali; e, per gli utenti, diffidare di email di phishing che sfruttano i dati rubati.

