✨︎ Resumen (TL;DR):
- Google y Mandiant identificaron a ShinyHunters explotando una falla crítica en Oracle.
- El ataque impactó al 68% del sector educativo superior, exponiendo 454,600 cuentas.
- Oracle aún no libera un parche completo, obligando a bloqueos manuales en los servidores.
Entre el 27 de mayo y el 9 de junio, el grupo de hackers ShinyHunters explotó la vulnerabilidad zero-day CVE-2026-35273 en Oracle PeopleSoft para comprometer los sistemas de más de 100 organizaciones. Mandiant y el Threat Intelligence Group de Google confirmaron el ataque, el cual afectó principalmente a universidades en Estados Unidos para extraer registros financieros y de estudiantes.
Oracle PeopleSoft es un software de gestión corporativa que administra recursos humanos y bases de datos financieras en grandes instituciones. La brecha radica en el componente Updates Environment Management de las versiones 8.61 y 8.62 de Enterprise PeopleTools.
El fallo de ejecución de código remoto cuenta con una gravedad CVSS de 9.8. Los atacantes no requirieron autenticación ni interacción del usuario; lograron tomar el control total del sistema únicamente accediendo a la red por HTTP. Oracle publicó una alerta de emergencia el 10 de junio.
Google notificó directamente a las instituciones comprometidas e indicó que el 68% pertenece al sector de educación superior. A nivel interno, el colectivo ShinyHunters asegura haber apuntado a 300 instancias de PeopleSoft en infraestructuras tanto en la nube como on-premises.
Universidades en la mira y bases de datos expuestas
Charles Carmakal, CTO de Mandiant, corroboró que la vulnerabilidad se explotó activamente en la vida real. Por su parte, la Zero Day Initiative de Trend Micro —responsable de descubrir y reportar el error a Oracle— declaró a la prensa que “actualmente ven una explotación limitada” mientras mantienen la investigación abierta.
La Universidad de Nottingham reconoció públicamente el compromiso de sus redes. “La Universidad de Nottingham ha sido víctima de un incidente cibernético y una cantidad significativa de datos en nuestro sistema de registro de estudiantes ha sido accedida por un conocido grupo cibercriminal”, confirmó un vocero de la institución educativa.
Los atacantes robaron cerca de 40 GB de información. La plataforma Have I Been Pwned integró a sus registros aproximadamente 454,600 direcciones de correo únicas junto con pasaportes, números de teléfono, direcciones físicas y etnias de los afectados.
Mitigaciones críticas de red
Oracle no ha liberado un parche definitivo. La guía técnica oficial exige deshabilitar el servicio Environment Management Hub en redes de múltiples servidores o remover la aplicación PSEMHUB en despliegues sencillos.
Las organizaciones que no puedan apagar estos sistemas deben implementar bloqueos inmediatos:
- Cortar el acceso externo al endpoint
/PSEMHUB/*. - Bloquear el endpoint
/PSIGW/HttpListeningConnectoren el perímetro.
Mandiant aclaró que usar reglas de firewall de aplicaciones web (WAF) no es suficiente, ya que los atacantes pueden eludirlas. Los administradores deben revisar sus logs buscando solicitudes POST externas a las rutas afectadas, detectar archivos .jsp irregulares y monitorear cualquier tráfico SMB saliente en el puerto 445.
