ShinyHunters beansprucht den Diebstahl von 297 GB beim Europarat über Zero-Day in Oracle PeopleSoft

Die Gruppe ShinyHunters behauptet, über 297 GB und 429.000 Dateien vom Europarat in Straßburg exfiltriert zu haben, indem sie den Zero-Day CVE-2026-35273 in Oracle PeopleSoft ausgenutzt hat. Die Behauptung erschien am 14. Juni auf dem Forum der Gruppe und wurde am Montag von The Register und Computing UK gemeldet. Der Europarat erklärte gegenüber The Register lediglich, dass er "die Angelegenheit untersucht und die Situation evaluiert." Die Organisation hat die Schwachstelle bis zum Abschluss dieses Artikels nicht öffentlich bestätigt.

CVE-2026-35273 ist ein Fehler zur Remote-Codeausführung in PeopleSoft Enterprise PeopleTools, mit einem CVSS-Wert von 9.8. Es erfordert keine Authentifizierung oder Benutzerinteraktion, sondern lediglich Netzwerkzugang über HTTP. Das Exploit-Fenster fand zwischen dem 27. Mai und dem 9. Juni statt, laut Mandiant, die die initiale Exploitsgruppe als UNC6240 verfolgt. Oracle veröffentlichte das Advisory erst am 10. Juni, was die Schwachstelle für mehr als zwei Wochen als Zero-Day hielt. An diesem Dienstag (16.) hat der Anbieter ein vollständiges Patch und zusätzliche technische Details im Quartalsbericht für Juni veröffentlicht.

Die umfassendere Kampagne hinter dem Angriff

Die Behauptung gegen den Europarat ist das sichtbarste Stück einer Kampagne, die über 100 Organisationen betroffen hat. In einem Interview mit The Register erklärte ShinyHunters, dass sie 300 Instanzen von PeopleSoft unter diesen Opfern erreicht haben. Achtundsechzig Prozent gehörten zum Hochschulsektor, überwiegend in den Vereinigten Staaten. Unter den bisher bestätigten Opfern befindet sich die University of Nottingham im Vereinigten Königreich, die den Diebstahl von 40 GB mit persönlichen und finanziellen Daten aktueller und ehemaliger Studenten anerkannt hat.

Die Natur der im Fall des Europarats beanspruchten Daten erhöht das Risiko. Laut dem Forum der Gruppe umfassen die Dateien über 409.000 Lohnabrechnungen von etwa 10.000 Mitarbeitern, HR-Daten, Bestellungen, Lebensläufe, Bank-, Steuer- und Gesundheitsdaten. Wenn sich die Behauptung bestätigt, würde der Leak die Basis von Servern des wichtigsten Organs des Kontinents für Menschenrechte, mit Sitz in Straßburg und einem Mandat über 46 Mitgliedsländer, treffen.

Die Lücke, die das Fenster öffnete

Die Analyse von Mandiant weist darauf hin, dass das Exploit von ShinyHunters von einem offenen Classpath in PeopleTools abhängt, das die Deserialisierung von beliebigen Java-Objekten ermöglichte. Die Kombination führte zu RCE mit Anwendungsbenutzerprivilegien, ohne dass Anmeldeinformationen erforderlich sind. Für CISOs ist das Problem strukturell. PeopleSoft bleibt das zentrale ERP für Gehaltsabrechnung, HR und Finanzen in Hunderten öffentlicher und privater Institutionen, und jede Implementierung tendiert dazu, an benutzerdefinierte Anpassungen mit langsamem Patch-Zyklus gekoppelt zu sein. Die Oracle Cloud Infrastructure war nicht exponiert, aber die on-premises Basis und in Drittanbieter-Datencentern schon.

Die US-Cybersecurity and Infrastructure Security Agency hat CVE-2026-35273 in den Katalog der bekannten ausgenutzten Schwachstellen aufgenommen und legte den 29. Juni als Frist fest, bis zu der amerikanische Bundesbehörden Abhilfe schaffen müssen. In der Europäischen Union erließ die ENISA eine parallele Warnung. Für brasilianische Unternehmen ist die Verletzlichkeit doppelt: Petrobras, Banco do Brasil und Teile des föderalen Universitätssystems verwenden PeopleSoft, und der Wartungszyklus hängt von einem vierteljährlichen Änderungsfenster ab. Ohne sofortige Überprüfung der Konfiguration und der Netzwerksegmentierung für den Anwendungsserver bleibt der Vektor auch nach Anwendung des Patches offen, laut technischer Notiz von CSO Online.

Was der Fall für den Risikovertrag ändert

Der Druck auf Anbieter von Legacy-ERPs gewinnt regulatorische Dimensionen. Der Europarat wird, falls er den Vorfall bestätigt, die nationalen Datenschutzbehörden in 46 Jurisdiktionen benachrichtigen müssen. Für das Rechtsteam amerikanischer und europäischer Banken, die PeopleSoft verwenden, eröffnet der Fall die Klauseln zur Cybersicherheit in Verträgen mit Oracle neu, insbesondere die, die sich mit dem Veröffentlichungsfenster für Zero-Day befassen. Der Unterschied zwischen dem 27. Mai, als Mandiant die Ausnutzung identifizierte, und dem 10. Juni, als das Advisory veröffentlicht wurde, ist genau die Art von Lücke, die CFOs und CISOs in den letzten zwei Quartalen zu bewerten versucht haben.

ShinyHunters operiert nach einem Erpressungsmodell ohne Ransomware: sie stehlen, drohen publik zu machen, verhandeln. Die Gruppe setzte eine Frist bis diesen Dienstag (16.), damit der Europarat zahlt. Bis jetzt gibt es keine öffentlichen Beweise für die Veröffentlichung der Dateien. Oracle hat bis zum Abschluss dieses Artikels keinen Kommentar zu dem Erpressungsversuch gegen den Europarat abgegeben.