Oracle, CVE-2026-35273 koduyla takip edilen kritik bir PeopleSoft Suite sıfır günlük zafiyetinin, kimlik doğrulaması gerektirmeden uzaktan kod yürütülmesine olanak tanıdığını ve bu zafiyetin ShinyHunter veri hırsızlığı saldırılarında aktif olarak kullanıldığını bildirdi.
Zafiyet, Oracle PeopleSoft PeopleTools içerisinde yer almakta olup, CVSS taban puanı 9.8 olarak değerlendirilmiştir.
Oracle’ın yayımladığı güvenlik uyarısında, “Bu Güvenlik Uyarısı, Oracle PeopleSoft PeopleTools’deki CVE-2026-35273 zafiyetini ele alır. Oracle PeopleSoft Kurumsal Uygulamalar müşterileri de bu zafiyetten etkilenebilir,” denilmektedir.
Zafiyet, kimlik doğrulaması olmadan uzaktan istismar edilebilir niteliktedir. Eğer başarılı bir şekilde istismar edilirse, uzaktan kod yürütülmesine neden olabilir.
Oracle, bu sıfır günlük zafiyetinin PeopleSoft Enterprise PeopleTools versiyonları 8.61 ve 8.62‘yi etkilediğini doğrulamış ve zafiyeti gidermek adına acil önlemler yayınlamıştır; yakın zamanda bir yamanın gelmesi planlanmaktadır.
Zafiyet, ShinyHunter Veri Hırsızlığı Saldırılarında İstismar Ediliyor
Oracle, bu zafiyetin aktif olarak istismar edildiğini belirtmemiştir; fakat, BleepingComputer’ın raporuna göre ShinyHunters fidye çetesi, PeopleSoft sıfır günlük zafiyetini kullanarak sistemleri ihlal etmekte ve veri çalmaktadır.
BleepingComputer, bu zafiyetin saldırılarda kullanılan sıfır günlük zafiyet olduğunu öğrenmiştir.
Mandiant – Google Cloud CTO’su Charles Carmakal, LinkedIn üzerinden yaptığı açıklamada CVE-2026-35273’ün aktif olarak istismar edildiğini teyit etmiş ve Oracle’ın bu zafiyet için önlemler yayınladığını belirtmiştir.
BleepingComputer, Oracle PeopleSoft’un ShinyHunters fidye çetesi tarafından hedef alındığını ve bu saldırılarda fidye mektuplarının bırakıldığını öğrenmiştir.
ShinyHunters, bulut SaaS sistemlerini, CRM’leri ve büyük miktarda kurumsal veriyi barındıran işletme platformlarını ihlal eden tanınmış bir tehdit aktörüdür. Bir sisteme erişim sağladıktan sonra verileri indirir ve bunların kamuya sızmasını önlemek için fidye talep eder.
Son bir yıl içinde SnowFlake, Salesforce ve üçüncü taraf entegrasyon sağlayıcıları gibi birçok yüksek profilli saldırıyla bağlantılı oldukları bildirilmiştir.
ShinyHunters, BleepingComputer’a bu saldırıların arkasında olduklarını ve PeopleSoft örneklerini ihlal etmek için eski ve sıfır günlük zafiyetlerden oluşan bir “alet zinciri” kullandıklarını iddia etmiştir.
Bu zafiyet kullanılarak, tehdit aktörlerinin 100’den fazla kuruluştan 300’den fazla örnekten veri çaldığı öne sürülmektedir.
Siber güvenlik araştırmacısı Michael R, saldırıya ilişkin araçlarla dolu birçok çevrimiçi dizini tespit etmiş ve saldırılarda kullanılan aşağıdaki IP adreslerini paylaşmıştır.
142.11.200[.]186
142.11.200[.]187
142.11.200[.]188
142.11.200[.]189
142.11.200[.]190
108.174.202[.]99
176.120.22[.]24Oracle PeopleSoft kullanıyorsanız, yukarıdaki IP adreslerinden gelen bağlantılar için loglarınızı analiz etmeniz ve bu saldırılarda hedef alınıp alınmadığınızı belirlemeniz şiddetle önerilmektedir.
BleepingComputer, Oracle ile bu zafiyet ve saldırılar hakkında soru sormak için iletişime geçmiştir, ancak henüz bir geri dönüş alınamamıştır.
Güvenlik ekipleri başarılı saldırıların %54’ünü kaydediyor ve sadece %14’ü için uyarı veriyor. Geri kalan ise çevrenizde görünmez bir şekilde ilerliyor.
Picus beyaz kitabı, ihlal ve saldırı simülasyonunun SIEM ve EDR kurallarınızı nasıl test ettiğini ve tehditlerin tespit edilmeden geçmesini durdurduğunu gösteriyor.
