सैन फ्रांसिस्को / नई दिल्ली, 12 जून 2026 (IT Samachar डेस्क): Oracle के एंटरप्राइज़ सॉफ्टवेयर PeopleSoft में मिली एक ख़तरनाक ख़ामी का इस्तेमाल कर हैकिंग ग्रुप ShinyHunters ने दुनिया भर के 100 से ज़्यादा संगठनों के सिस्टम में सेंध लगाई है। Google की साइबर सुरक्षा इकाई Mandiant के मुताबिक़ हमलावरों ने इस bug को ज़ीरो-डे की तरह इस्तेमाल किया, यानी जब Oracle ने 10 जून को चेतावनी जारी की, उससे पहले ही डेटा चोरी हो चुका था।
यह मामला इसलिए अहम है क्योंकि PeopleSoft दुनिया भर के बैंक, यूनिवर्सिटी और बड़े उद्यम अपने HR, payroll, finance और student records चलाने के लिए इस्तेमाल करते हैं। भारत में भी कई बड़े संस्थान इसी ERP पर निर्भर हैं, और एक unauthenticated remote code execution ख़ामी का मतलब है कि हमलावर बिना लॉगिन किए पूरे सर्वर पर क़ब्ज़ा कर सकता है।
CVE-2026-35273 में ख़तरा क्या है
यह ख़ामी CVE-2026-35273 के नाम से दर्ज है और इसे CVSS पैमाने पर 9.8/10 रेटिंग मिली है — यानी “critical”। यह PeopleSoft Enterprise PeopleTools 8.61 और 8.62 को प्रभावित करती है। Oracle के अनुसार पुराने, असमर्थित (unsupported) वर्ज़न भी संभवतः चपेट में हैं। ख़ामी Environment Management Hub (PSEMHUB) वाले हिस्से में है, और हमले के लिए सिर्फ़ HTTP के ज़रिए network access चाहिए — न कोई पासवर्ड, न कोई user interaction।
Oracle ने गुरुवार को एक out-of-band advisory जारी की, लेकिन फ़िलहाल पूरा patch नहीं, सिर्फ़ mitigations दिए हैं। कंपनी ने माना, “हम अनुशंसित mitigations को high-priority जोखिम-कम करने वाला क़दम मानते हैं और तत्काल कार्रवाई की सख़्त सलाह देते हैं।” ख़ामी की रिपोर्ट करने का श्रेय TrendAI Zero Day Initiative के शोधकर्ताओं को दिया गया है।
हमले की पूरी कहानी
Mandiant इस गिरोह को UNC6240 कोडनेम से ट्रैक करता है और हमले की गतिविधि 27 मई से 9 जून के बीच की बताता है। हमलावरों ने कुल 300 PeopleSoft instances को निशाना बनाया, जो 100 से ज़्यादा संगठनों के थे। दिलचस्प यह कि हमलावरों की अपनी सर्वर-सेटअप भी खुली रह गई — एक शोधकर्ता ने पाँच क्रमिक IP पतों पर Python का SimpleHTTP server पोर्ट 8888 पर चलता पकड़ा, जिनमें staging फ़ाइलें, Microsoft Azure जैसी दिखने वाली नक़ली remote-management agents और एक lateral-movement स्क्रिप्ट मौजूद थी।
ये agents azurenetfiles.net नामक command-and-control सर्वर से जुड़ते थे — एक डोमेन जिसे जानबूझकर “Azure NetApp Files” जैसा दिखने के लिए चुना गया। चोरी किए गए डेटा को zstd से compress कर ShinyHunters की leak साइट के मिरर पर भेजा गया।
विशेषज्ञ क्या कह रहे हैं
Mandiant के CTO Charles Carmakal ने सार्वजनिक तौर पर चेताया कि यह bug “in the wild” में सक्रिय रूप से exploit हो रहा है। दूसरी ओर TrendAI के Zero Day Initiative में Head of Threat Awareness Dustin Childs ने SecurityWeek को बताया, “फ़िलहाल हम सीमित exploitation देख रहे हैं, लेकिन हमारी जाँच जारी है।”
“ShinyHunters का तरीक़ा ही सबसे बड़ा संकेत है — on-premises ERP सॉफ्टवेयर में server-side ज़ीरो-डे, उन्हीं डेटा-समृद्ध निशानों पर, जिन्हें वे पहले SaaS प्लेटफ़ॉर्म से निशाना बनाते थे।” — The Hacker News विश्लेषण
किस पर सबसे ज़्यादा असर
इस अभियान में सबसे ज़्यादा चोट शिक्षा क्षेत्र को लगी — 68% पीड़ित higher education से थे, ज़्यादातर अमेरिका में। पहले पुष्ट पीड़ितों में से एक University of Nottingham है। Have I Been Pwned के मुताबिक़ leak हुए डेटा में क़रीब 4,55,000 unique ईमेल पते शामिल थे, जिनमें मौजूदा और पूर्व छात्रों के नाम, पते, फ़ोन नंबर, passport नंबर तक थे।
Indian angle: भारतीय CISO तुरंत क्या करें
PeopleSoft भारत में बैंकों, बीमा कंपनियों, बड़े IT services संगठनों और विश्वविद्यालयों में HR-payroll के लिए व्यापक रूप से चलता है। साइबर सुरक्षा विशेषज्ञों के अनुसार भारतीय संगठनों के लिए तात्कालिक क़दम है — multi-server setup में Environment Management Hub सेवा बंद करना, या single-server में PSEMHUB application हटाना। अगर यह संभव न हो तो /PSEMHUB/* और /PSIGW/HttpListeningConnector तक बाहरी access को perimeter पर ब्लॉक करना चाहिए। Mandiant ने चेताया कि अकेले WAF body-inspection rules पर्याप्त नहीं हैं क्योंकि उन्हें bypass किया जा सकता है।
Aage kya? (Outlook)
आने वाले 30-90 दिनों में तीन बातें देखने लायक़ हैं। पहला, Oracle का पूरा patch — फ़िलहाल केवल mitigations हैं, और क्या broad fix उपलब्ध है यह My Oracle Support login के पीछे अस्पष्ट है। दूसरा, ShinyHunters का दावा है कि victim outreach अभी शुरू ही हुआ है, इसलिए और संगठनों के नाम सामने आ सकते हैं। तीसरा, बड़ा सवाल यह कि क्या यह एक उधार लिया गया एकल ज़ीरो-डे था, या ShinyHunters अब ERP exploitation की ओर बढ़ रहा है — अगर ऐसा है तो भारतीय एंटरप्राइज़ ERP तैनातियों पर दबाव और बढ़ेगा।
स्रोत: The Hacker News, SecurityWeek, BleepingComputer, The Register, Help Net Security, Oracle Security Alert (दिनांक तक की रिपोर्टिंग)।





