**Oracle corrige grave vulnerabilidad en PeopleSoft tras posibles ataques zero-day de ShinyHunters**
—
### Introducción
Oracle ha publicado recientemente mitigaciones para la vulnerabilidad CVE-2026-35273, identificada en su plataforma PeopleSoft, en un contexto marcado por informes sobre posibles ataques zero-day atribuidos al grupo de cibercriminales ShinyHunters. Aunque la compañía no ha confirmado oficialmente si la vulnerabilidad fue explotada activamente antes de su parcheo, la situación ha generado gran preocupación en la comunidad de ciberseguridad profesional, especialmente entre responsables de seguridad (CISOs), equipos de análisis SOC, pentesters y administradores de sistemas de organizaciones que dependen de este sistema ERP crítico.
—
### Contexto del Incidente o Vulnerabilidad
PeopleSoft es una suite de aplicaciones empresariales muy implantada en sectores como la administración pública, educación superior, banca y grandes corporaciones globales. El entorno de PeopleSoft ha sido históricamente un objetivo atractivo para grupos de amenazas avanzadas, debido a la sensibilidad de los datos que gestiona y su integración en procesos de negocio críticos.
El descubrimiento de la vulnerabilidad CVE-2026-35273 coincide con recientes campañas atribuidas a ShinyHunters, un grupo conocido por el robo y filtración de grandes volúmenes de datos corporativos, así como la monetización de accesos privilegiados mediante venta en foros clandestinos. Aunque Oracle no ha especificado si el exploit fue utilizado en estos ataques, varios analistas han detectado indicadores de compromiso (IoC) compatibles con la explotación de PeopleSoft en incidentes recientes.
—
### Detalles Técnicos
La vulnerabilidad CVE-2026-35273 afecta a versiones específicas de PeopleSoft, concretamente los módulos de PeopleTools anteriores a la versión 8.60.14 y 8.59.32. Esta debilidad reside en la gestión insuficiente de autenticación y control de acceso en ciertos endpoints web, permitiendo a un actor no autenticado ejecutar acciones privilegiadas mediante técnicas de manipulación de parámetros en las peticiones HTTP (parameter tampering).
Los vectores de ataque identificados corresponden al Tactic, Technique, and Procedure (TTP) T1190 (Exploit Public-Facing Application) del framework MITRE ATT&CK. Las herramientas comúnmente empleadas para la explotación incluyen módulos personalizados en Metasploit y scripts automatizados en Python que explotan el endpoint vulnerable para escalar privilegios y extraer información sensible, como credenciales y datos financieros.
IoCs asociados incluyen patrones inusuales en los logs de acceso (requests POST/GET no estándar sobre endpoints de administración), aparición de cuentas privilegiadas no autorizadas y transferencias de grandes volúmenes de datos fuera del horario habitual.
—
### Impacto y Riesgos
La explotación de esta vulnerabilidad puede permitir a los atacantes obtener acceso total a los sistemas PeopleSoft afectados, comprometiendo integridad, confidencialidad y disponibilidad de los datos críticos de negocio. Se estima que más de 1.200 organizaciones a nivel global podrían estar expuestas si no aplican las mitigaciones recomendadas.
El impacto potencial incluye robo de datos personales sujetos a la GDPR, interrupción de procesos financieros, y exposición de información estratégica. La explotación masiva o automatizada de esta vulnerabilidad podría derivar en sanciones regulatorias bajo el marco de la GDPR o la directiva NIS2, además de importantes pérdidas económicas y daños reputacionales. Según datos de IBM Security, el coste medio de una brecha de este tipo supera los 4 millones de dólares.
—
### Medidas de Mitigación y Recomendaciones
Oracle ha publicado actualizaciones críticas para PeopleTools, instando a los administradores a actualizar inmediatamente a las versiones 8.60.14 o 8.59.32, donde la vulnerabilidad ha sido corregida. La compañía también recomienda:
– Revisar exhaustivamente los logs de acceso y eventos recientes en busca de IoCs.
– Implementar segmentación de red y restringir el acceso a interfaces administrativas de PeopleSoft.
– Aplicar políticas de autenticación multifactor (MFA) para accesos privilegiados.
– Realizar auditorías de cuentas de usuario y privilegios asignados.
– Considerar la integración de soluciones de detección y respuesta (EDR/XDR) con reglas específicas para PeopleSoft.
Para entornos que no puedan actualizar de inmediato, Oracle sugiere aplicar reglas de firewall para bloquear el tráfico sospechoso hacia los endpoints afectados y monitorizar en tiempo real los intentos de explotación.
—
### Opinión de Expertos
Especialistas en ciberseguridad como Marcus Hutchins (MalwareTech) y el equipo de análisis de Rapid7 coinciden en la gravedad de la vulnerabilidad, subrayando que la visibilidad limitada de los sistemas ERP y la falta de segmentación en muchas organizaciones incrementan el riesgo de explotación. Recomiendan priorizar la actualización y la revisión de la arquitectura de seguridad alrededor de PeopleSoft, advirtiendo que grupos como ShinyHunters pueden estar recurriendo a técnicas avanzadas de evasión para eludir controles tradicionales.
—
### Implicaciones para Empresas y Usuarios
Las organizaciones que utilizan PeopleSoft deben considerar este incidente como un catalizador para revisar su postura de seguridad integral frente a aplicaciones empresariales legacy. El incidente evidencia la necesidad de mantener procesos de gestión de parches ágiles, incrementar la vigilancia sobre sistemas críticos y reforzar la formación de equipos SOC en detección de ataques dirigidos a aplicaciones empresariales.
Para los usuarios finales, el principal riesgo es la exposición de datos personales y financieros, por lo que las empresas deben comunicar de forma transparente cualquier potencial compromiso y cumplir con los requisitos de notificación de incidentes establecidos en la GDPR y la NIS2.
—
### Conclusiones
La vulnerabilidad CVE-2026-35273 en Oracle PeopleSoft subraya la criticidad de mantener actualizados los entornos ERP y aplicar una defensa en profundidad. Ante la creciente sofisticación de actores como ShinyHunters, las organizaciones deben combinar la actualización tecnológica con la mejora continua de sus capacidades de detección y respuesta ante amenazas. La coordinación entre equipos técnicos, legales y de negocio será clave para minimizar el impacto de posibles incidentes y cumplir con las obligaciones regulatorias.
(Fuente: www.securityweek.com)