Oracle ha pubblicato il 10 giugno 2026 un bollettino di sicurezza fuori ciclo per CVE-2026-35273, una falla critica in PeopleSoft Enterprise PeopleTools che gli aggressori sfruttavano già da due settimane. Il punteggio CVSS 3.1 tocca 9.8 su 10, il massimo della fascia critica. Mandiant ha documentato lo sfruttamento attivo tra il 27 maggio e il 9 giugno 2026, prima che la patch esistesse, e ha collegato la campagna al gruppo di estorsione ShinyHunters. Il dato che inquadra la portata reale arriva dal settore colpito: il 68% delle oltre 100 organizzazioni avvisate sono università e college.
Questo Oracle PeopleSoft zero-day non è un caso isolato. Arriva a otto mesi dalla campagna Cl0p contro Oracle E-Business Suite (CVE-2025-61882), sfrutta la stessa famiglia tecnica (Server-Side Request Forgery che porta a esecuzione di codice remoto) e coinvolge lo stesso ecosistema criminale. Per le università europee e gli enti pubblici italiani che gestiscono studenti, ricerca e personale su PeopleSoft, la finestra di rischio è già aperta. Analizziamo i numeri, la catena di attacco, l’impatto normativo sotto NIS2 e GDPR, e cosa cambia per il mercato della sicurezza nella seconda metà del 2026.
Cosa è successo: lo zero-day CVE-2026-35273 in sintesi
CVE-2026-35273 è una vulnerabilità di esecuzione di codice remoto non autenticata nel componente Updates Environment Management di Oracle PeopleSoft Enterprise PeopleTools. Oracle la descrive come “facilmente sfruttabile” da un attaccante con accesso di rete via HTTP, senza credenziali e senza interazione dell’utente. Le versioni colpite sono PeopleTools 8.61 e 8.62. Anche i clienti delle PeopleSoft Enterprise Applications risultano potenzialmente esposti, perché quei moduli dipendono da PeopleTools.
Il vettore CVSS è CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, che si traduce in un attacco raggiungibile dalla rete, a bassa complessità, senza privilegi e con impatto alto su riservatezza, integrità e disponibilità. In pratica, un sistema PeopleSoft esposto su internet con la versione vulnerabile può essere preso interamente sotto controllo da remoto. La gravità tecnica spiega perché Oracle ha rilasciato la correzione fuori dal normale ciclo trimestrale di Critical Patch Update, lo stesso giorno dell’avviso.
La falla è stata segnalata a Oracle da Bobby Gould della TrendAI Zero Day Initiative e da Lucas Miller di TrendAI Research, che hanno classificato il problema come Server-Side Request Forgery (CWE-918). La cronologia, però, dimostra che la divulgazione coordinata è arrivata in ritardo rispetto agli attaccanti: i criminali avevano già armato l’exploit settimane prima del bollettino ufficiale. È la definizione esatta di zero-day, una falla sfruttata prima che esista la patch.
I numeri dell’attacco: cronologia dal 27 maggio al 12 giugno
La sequenza temporale ricostruita da Mandiant e Rapid7 comprime l’intera vicenda in tre settimane. Lo sfruttamento attivo parte il 27 maggio 2026 e prosegue fino al 9 giugno, lo stesso giorno in cui ShinyHunters pubblica i primi dati rubati sul proprio Data Leak Site. Mandiant rende pubblica l’analisi l’11 giugno. Oracle aveva già diffuso il bollettino e la patch out-of-band il 10 giugno. La CISA statunitense aggiunge CVE-2026-35273 al catalogo Known Exploited Vulnerabilities il 12 giugno.
Quattordici giorni separano l’inizio dell’attacco dalla disponibilità della correzione. In quella finestra, secondo i dati di Mandiant, oltre 100 organizzazioni hanno ricevuto notifica di compromissione. Il punteggio EPSS registrato nelle banche dati di vulnerabilità si attesta a 0.00717 al momento della pubblicazione, un valore destinato a salire man mano che gli scanner pubblici integrano gli indicatori di compromissione. La CISA ha legato la remediation alla direttiva BOD 26-04, che impone alle agenzie federali tempi stretti e requisiti di triage forense.
Il National Vulnerability Database ha pubblicato la scheda l’11 giugno e l’ha aggiornata il 12. La rapidità con cui CISA, NVD e i vendor di threat intelligence hanno allineato i dati segnala il livello di allarme. Quando un RCE non autenticato con CVSS 9.8 viene sfruttato in natura contro un software ERP installato in migliaia di atenei, la priorità diventa immediata.
Anatomia tecnica: dall’SSRF al remote code execution
Il cuore della vulnerabilità è una Server-Side Request Forgery. In un attacco SSRF, l’aggressore induce il server a effettuare richieste di rete per suo conto, aggirando i controlli perimetrali e raggiungendo servizi interni che dovrebbero restare isolati. Nel caso di PeopleSoft, l’SSRF non si ferma alla semplice lettura di risorse interne: funge da meccanismo per arrivare all’esecuzione di codice. Mandiant descrive la falla come una vulnerabilità critica di RCE in cui l’SSRF è il vettore con cui si ottiene il controllo del sistema.
Gli endpoint PSEMHUB e PSIGW sotto attacco
L’analisi di Mandiant identifica due endpoint coinvolti nello sfruttamento: /PSEMHUB/hub e /PSIGW/HttpListeningConnector. Il primo appartiene all’Environment Management Hub, il componente che PeopleSoft usa per coordinare gli aggiornamenti tra i vari nodi dell’ambiente. È esattamente la funzione “Updates Environment Management” indicata da Oracle come vulnerabile. Il secondo, il connettore HTTP dell’Integration Gateway, è un punto di ingresso noto per i messaggi in arrivo. La combinazione consente all’attaccante non autenticato di forzare il server a eseguire la sua catena di richieste.
# Endpoint presi di mira nella campagna (fonte: Mandiant, 11 giugno 2026)
/PSEMHUB/hub
/PSIGW/HttpListeningConnector
# Verifica rapida dell'esposizione su internet
curl -s -o /dev/null -w "%{http_code}" https://tuo-server-peoplesoft/PSEMHUB/hub
# Una risposta diversa da 404 indica un endpoint raggiungibile da bloccare con urgenzaMeshCentral per la persistenza
Secondo le prime ricostruzioni della campagna, dopo aver ottenuto l’esecuzione di codice gli aggressori hanno distribuito agenti MeshCentral per mantenere accesso remoto persistente. MeshCentral è uno strumento open source legittimo di gestione remota, abusato sempre più spesso dai gruppi criminali perché si confonde con il traffico amministrativo e raramente attiva allarmi nei sistemi di rilevamento. L’uso di software di amministrazione legittimo (la tecnica nota come living-off-the-land) riduce la superficie rilevabile e prolunga la permanenza nella rete della vittima, durante la quale avviene l’esfiltrazione dei dati.
Perché le università sono il bersaglio principale
Il dato più rilevante della campagna è la sua selettività. Mandiant riferisce che il 68% delle oltre 100 organizzazioni avvisate appartiene al settore dell’istruzione superiore. PeopleSoft Campus Solutions è uno dei sistemi gestionali più diffusi negli atenei di tutto il mondo per anagrafiche studenti, iscrizioni, pagamenti delle rette e dati del personale. Un singolo deployment compromesso espone dati bancari, documenti d’identità, date di nascita e fascicoli accademici di decine di migliaia di persone.
Le università rappresentano un bersaglio ideale per ragioni strutturali. Dispongono di dataset enormi e ricchi di identificatori permanenti, ma operano con budget di sicurezza inferiori a quelli del settore finanziario o difesa. Spesso mantengono installazioni PeopleSoft datate, personalizzate e difficili da aggiornare in fretta, esposte su internet per consentire l’accesso remoto a studenti e docenti. La superficie d’attacco è ampia e il tempo di patch è lento, una combinazione che i gruppi di estorsione conoscono bene.
In Europa, dove gli atenei pubblici trattano dati sotto il regime GDPR, una violazione di questa natura genera obblighi di notifica entro 72 ore e potenziali sanzioni elevate. La pressione regolatoria si somma al danno reputazionale e al rischio di azioni collettive da parte di studenti e personale, sul modello di quanto già visto in altri grandi data breach europei del 2026.
ShinyHunters: chi c’è dietro l’estorsione
ShinyHunters è un collettivo di estorsione a motivazione finanziaria attivo da anni, riemerso nel 2025-2026 come uno degli attori più aggressivi nel furto di dati. Il gruppo opera con un modello ricorrente: compromette l’obiettivo, esfiltra grandi volumi di dati, pubblica un campione sul proprio Data Leak Site e chiede un riscatto per non diffondere il resto. Nella campagna PeopleSoft, i dati rubati sono comparsi sul DLS del gruppo il 9 giugno 2026.
Il nome ShinyHunters compare in alcune delle più gravi violazioni recenti. Il collettivo, intrecciato con le sigle Scattered LAPSUS$ Hunters, è stato collegato alla campagna di estorsione contro i clienti Salesforce e alla violazione della compagnia telefonica olandese Odido, che ha esposto i dati di 6,2 milioni di clienti. La continuità tra questi episodi mostra un gruppo che alterna ingegneria sociale, abuso di credenziali e sfruttamento di zero-day a seconda dell’obiettivo. Con PeopleSoft, la scelta è caduta su una falla tecnica di alto valore contro un settore vulnerabile.
Scheda tecnica della vulnerabilità CVE-2026-35273
La tabella seguente riassume i parametri verificati della vulnerabilità, utili per la valutazione del rischio e la prioritizzazione degli interventi.
| Parametro | Valore |
|---|---|
| Identificativo CVE | CVE-2026-35273 |
| Prodotto | Oracle PeopleSoft Enterprise PeopleTools |
| Componente | Updates Environment Management |
| Tipo di falla | Server-Side Request Forgery (CWE-918) verso RCE |
| Punteggio CVSS 3.1 | 9.8 (Critico) |
| Vettore CVSS | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Versioni colpite | PeopleTools 8.61 e 8.62 |
| Autenticazione richiesta | Nessuna |
| Bollettino Oracle | 10 giugno 2026 (fuori ciclo) |
| Sfruttamento attivo | 27 maggio – 9 giugno 2026 |
| Aggiunta a CISA KEV | 12 giugno 2026 |
| Punteggio EPSS iniziale | 0.00717 |
| Attribuzione | ShinyHunters |
I due endpoint da monitorare restano /PSEMHUB/hub e /PSIGW/HttpListeningConnector. Qualsiasi traffico anomalo verso questi percorsi su un sistema con PeopleTools 8.61 o 8.62 va trattato come potenziale indicatore di compromissione fino a prova contraria.
Confronto con la campagna Oracle E-Business Suite di Cl0p
Per capire la traiettoria, conviene mettere CVE-2026-35273 accanto a CVE-2025-61882, la falla Oracle E-Business Suite sfruttata da Cl0p nell’autunno 2025. I parallelismi sono evidenti: stesso vendor, stesso punteggio CVSS 9.8, stessa famiglia tecnica basata su SSRF, stesso modello di estorsione tramite Data Leak Site. La differenza chiave è il bersaglio. Cl0p ha colpito ampiamente le grandi imprese che usano l’ERP finanziario di Oracle, mentre ShinyHunters ha concentrato il fuoco sull’istruzione superiore.
| Caratteristica | CVE-2026-35273 (PeopleSoft) | CVE-2025-61882 (E-Business Suite) |
|---|---|---|
| Prodotto Oracle | PeopleSoft PeopleTools | E-Business Suite |
| Componente | Updates Environment Management | BI Publisher Integration |
| CVSS 3.1 | 9.8 | 9.8 |
| Tecnica | SSRF verso RCE | SSRF, CRLF injection, bypass auth, XSLT |
| Versioni colpite | 8.61, 8.62 | 12.2.3 – 12.2.14 |
| Gruppo attribuito | ShinyHunters | Cl0p / Scattered LAPSUS$ Hunters |
| Bersaglio prevalente | Università (68%) | Grandi imprese ERP |
| Patch fuori ciclo | 10 giugno 2026 | 4 ottobre 2025 |
| Aggiunta a CISA KEV | 12 giugno 2026 | 6 ottobre 2025 |
| Avviso threat intel | Mandiant, 11 giugno 2026 | Google TIG/Mandiant, 2 ottobre 2025 |
La campagna Cl0p del 2025 aveva mostrato che gli attaccanti tenevano l’exploit pronto da settimane: i primi accessi risalivano intorno al 9 agosto 2025, mentre l’estorsione di massa è iniziata il 29 settembre. Lo schema si ripete nel 2026 con PeopleSoft, dove lo sfruttamento precede la patch di due settimane. Oracle, in entrambi i casi, ha reagito con un rilascio di emergenza, segnale che il suo portafoglio ERP è diventato un bersaglio prioritario per i gruppi di estorsione.
L’impatto per l’Europa e l’Italia
PeopleSoft è diffuso negli atenei e nelle pubbliche amministrazioni di tutta Europa, spesso in configurazioni ereditate da migrazioni avvenute oltre un decennio fa. Le università italiane che impiegano moduli Campus Solutions o Human Capital Management su versioni PeopleTools 8.61 o 8.62 ricadono direttamente nel perimetro della vulnerabilità. Anche enti che non gestiscono direttamente l’infrastruttura, ma la affidano a fornitori in outsourcing, devono verificare con urgenza lo stato di patch dei sistemi.
Il rischio europeo non è teorico. La campagna Cl0p del 2025 e la violazione Odido del febbraio 2026 hanno dimostrato che i gruppi di estorsione non distinguono tra vittime statunitensi ed europee. Un ateneo italiano con un PeopleSoft esposto su internet è esattamente il profilo che ShinyHunters ha cercato in questa campagna. La concentrazione del 68% sull’istruzione superiore amplifica la probabilità che università del Vecchio Continente compaiano tra le vittime nelle settimane successive alla pubblicazione dei dati.
Il dato di contesto europeo è preoccupante. Secondo le analisi di settore, gli attacchi di cybercrime lanciati dall’Europa hanno superato i 50 milioni nel primo trimestre, e il continente ha visto una crescita degli attacchi ransomware di quattro volte dal 2021. L’istruzione e la ricerca, settori storicamente sotto-finanziati sul fronte sicurezza, assorbono una quota crescente di questi attacchi.
NIS2, GDPR e gli obblighi di notifica
Una violazione di PeopleSoft in un ente europeo attiva due regimi normativi distinti. Sul fronte protezione dei dati, il GDPR impone la notifica all’autorità di controllo entro 72 ore dalla scoperta e la comunicazione agli interessati quando il rischio per i loro diritti è elevato. Le sanzioni per le violazioni più gravi arrivano fino a 20 milioni di euro o al 4% del fatturato annuo globale, a seconda di quale importo sia maggiore. Per un ateneo, anche la fascia bassa di queste sanzioni rappresenta un colpo di bilancio significativo.
Sul fronte cybersicurezza, la direttiva NIS2 ha alzato l’asticella per i soggetti essenziali e importanti, categoria in cui molti Stati membri includono enti di ricerca e pubblica amministrazione. NIS2 richiede misure di gestione del rischio, governance documentata e notifica tempestiva degli incidenti significativi. Un RCE non autenticato sfruttato attivamente rientra senza ambiguità nella categoria di evento che fa scattare gli obblighi di reporting e l’esame della catena di responsabilità del management.
La combinazione di GDPR e NIS2 significa che un singolo zero-day PeopleSoft può tradursi in un doppio binario di esposizione legale: sanzioni per la protezione dei dati e contestazioni per inadeguatezza delle misure di sicurezza. Le organizzazioni che dimostrano patch tempestiva, segmentazione di rete e monitoraggio attivo riducono entrambi i rischi.
La risposta di Oracle e CISA
Oracle ha gestito CVE-2026-35273 come un’emergenza. Il bollettino del 10 giugno è arrivato fuori dal consueto Critical Patch Update trimestrale, accompagnato da una patch disponibile lo stesso giorno tramite il Patch Availability Document su Oracle Support. L’azienda ha definito le mitigazioni “una misura di riduzione del rischio ad alta priorità” e ha raccomandato un’azione immediata. Oracle ha inoltre ricordato che le versioni non più supportate potrebbero non essere testate per la vulnerabilità, spingendo verso l’aggiornamento a release attive.
La CISA ha inserito la falla nel catalogo Known Exploited Vulnerabilities il 12 giugno, descrivendola come “Missing Authentication for Critical Function” e legandola alla direttiva BOD 26-04, che impone alle agenzie federali statunitensi tempi di remediation stringenti e requisiti di triage forense. Sebbene la BOD valga formalmente solo per le agenzie USA, l’inserimento nel KEV funziona da segnale globale: indica che la vulnerabilità è sfruttata in natura e va trattata con la massima urgenza in qualsiasi giurisdizione.
Cosa devono fare subito gli amministratori PeopleSoft
La priorità assoluta è applicare la patch Oracle per PeopleTools 8.61 e 8.62. Dove l’aggiornamento immediato non è possibile, le mitigazioni perimetrali riducono la finestra di esposizione mentre si pianifica il deployment.
# Checklist di risposta a CVE-2026-35273
# 1. Identifica le versioni vulnerabili
# Verifica se l'ambiente usa PeopleTools 8.61 o 8.62
# 2. Applica la patch Oracle fuori ciclo (Patch Availability Document)
# 3. Riduci l'esposizione HTTP: limita gli endpoint amministrativi
# a reti fidate, blocca l'accesso non necessario da internet
location ~* ^/(PSEMHUB|PSIGW) {
allow 10.0.0.0/8; # solo reti interne fidate
deny all;
}
# 4. Cerca indicatori di compromissione nei log del web server
grep -E "/PSEMHUB/hub|/PSIGW/HttpListeningConnector" access.log
# 5. Verifica la presenza di agenti MeshCentral non autorizzati
# e di processi o connessioni in uscita anomaleOltre alla patch, gli amministratori dovrebbero condurre una caccia retrospettiva alle minacce coprendo l’intera finestra dal 27 maggio in avanti, perché un sistema compromesso prima dell’aggiornamento resta sotto controllo dell’attaccante anche dopo la correzione. La presenza di MeshCentral, di account anomali o di esfiltrazioni verso server esterni va trattata come incidente confermato, con attivazione delle procedure di notifica GDPR e NIS2.
Analisi di mercato: perché i dati universitari valgono tanto
La scelta del settore istruzione non è casuale dal punto di vista economico. I fascicoli universitari combinano identificatori permanenti (documenti, codici fiscali, date di nascita) con dati finanziari e anagrafici aggiornati. A differenza di una carta di credito, che si può bloccare in pochi minuti, questi identificatori non si possono “ruotare”. Sul mercato nero mantengono valore per anni, alimentando frodi d’identità, apertura di conti fraudolenti e attacchi di phishing mirato.
Per i fornitori di sicurezza, la campagna PeopleSoft conferma una tendenza già visibile con Cl0p: gli attacchi si spostano dai singoli endpoint verso le applicazioni enterprise mission-critical, dove un solo exploit espone milioni di record. Cresce la domanda di soluzioni di Attack Surface Management, di virtual patching a livello di Web Application Firewall e di servizi gestiti di threat hunting capaci di coprire la finestra tra divulgazione e applicazione della patch. Il segmento della sicurezza applicativa enterprise è uno dei pochi a registrare investimenti in controtendenza rispetto ai tagli IT generalizzati.
Per Oracle, due zero-day critici sfruttati in natura sul portafoglio ERP nel giro di otto mesi rappresentano un problema di reputazione che incide sulle scelte di acquisto. I clienti chiedono maggiore trasparenza sui tempi di divulgazione e architetture di rilascio patch più rapide, in un contesto in cui i concorrenti cloud-native promettono aggiornamenti continui senza finestre di manutenzione.
Cinque previsioni per la seconda metà del 2026
Sulla base della traiettoria osservata tra la campagna Cl0p del 2025 e questo zero-day PeopleSoft, ecco cinque sviluppi probabili nei prossimi mesi.
- Nuove vittime europee emergeranno. Con il 68% dei bersagli nell’istruzione superiore e i dati già sul Data Leak Site, è probabile che diversi atenei europei, inclusi alcuni italiani, compaiano tra le vittime confermate entro l’estate.
- Altri zero-day Oracle ERP nel mirino. Il successo di SSRF verso RCE su EBS e PeopleSoft spingerà ricercatori e criminali a cercare falle analoghe in altri moduli Oracle, con nuovi bollettini fuori ciclo attesi nel 2026.
- Le autorità GDPR apriranno istruttorie. Sul modello delle indagini già avviate per altri grandi breach europei del 2026, i garanti nazionali esamineranno l’adeguatezza delle misure di sicurezza degli enti colpiti.
- Crescerà l’adozione del virtual patching. La finestra di due settimane tra sfruttamento e patch renderà standard, nelle università, le regole WAF e la segmentazione di rete come prima linea di difesa.
- ShinyHunters resterà ad alta attività. Il gruppo ha dimostrato capacità sia di ingegneria sociale sia di sfruttamento di zero-day; è ragionevole attendersi nuove campagne contro applicazioni enterprise ad alto valore nel secondo semestre.
Domande frequenti su CVE-2026-35273
Quali versioni di Oracle PeopleSoft sono vulnerabili?
Oracle indica come colpite le versioni PeopleSoft Enterprise PeopleTools 8.61 e 8.62. Anche i clienti delle PeopleSoft Enterprise Applications possono essere esposti, perché quei moduli dipendono da PeopleTools. Le installazioni con queste versioni vanno trattate come prioritarie per la patch.
Quanto è grave la vulnerabilità?
Molto grave. Il punteggio CVSS 3.1 è 9.8 su 10, nella fascia critica. La falla consente a un attaccante non autenticato, raggiungibile via rete HTTP, di eseguire codice da remoto e prendere il controllo del sistema PeopleSoft, con impatto alto su riservatezza, integrità e disponibilità.
Chi sta sfruttando CVE-2026-35273?
Mandiant ha collegato la campagna al gruppo di estorsione a motivazione finanziaria ShinyHunters, che ha pubblicato i primi dati rubati sul proprio Data Leak Site il 9 giugno 2026. Lo sfruttamento attivo è stato osservato tra il 27 maggio e il 9 giugno.
La patch è già disponibile?
Sì. Oracle ha rilasciato una correzione fuori ciclo il 10 giugno 2026, lo stesso giorno del bollettino di sicurezza. Le istruzioni di installazione sono nel Patch Availability Document su Oracle Support. La CISA ha aggiunto la falla al catalogo KEV il 12 giugno.
Cosa succede se un ateneo europeo subisce la violazione?
Scattano gli obblighi GDPR (notifica entro 72 ore, sanzioni fino a 20 milioni di euro o 4% del fatturato globale) e quelli NIS2 per i soggetti essenziali e importanti. L’ente deve notificare l’incidente, comunicarlo agli interessati a rischio elevato e dimostrare l’adeguatezza delle misure di sicurezza adottate.
Come si può difendere chi non può aggiornare subito?
La mitigazione principale è ridurre l’esposizione HTTP: limitare gli endpoint amministrativi e di integrazione (come /PSEMHUB/hub e /PSIGW/HttpListeningConnector) alle sole reti fidate e bloccare l’accesso non necessario da internet. Va affiancata da threat hunting retrospettivo e monitoraggio per agenti MeshCentral non autorizzati.
Che differenza c’è con la campagna Cl0p del 2025?
Entrambe sfruttano zero-day Oracle con CVSS 9.8 e tecnica SSRF, ma colpiscono prodotti diversi (PeopleSoft contro E-Business Suite) e gruppi diversi (ShinyHunters contro Cl0p). La novità del 2026 è la concentrazione sull’istruzione superiore, con il 68% delle vittime tra università e college.
L’Italia è coinvolta?
Non esiste al momento una lista pubblica di vittime per nazione, ma PeopleSoft è diffuso negli atenei e nella pubblica amministrazione europea, Italia inclusa. Ogni organizzazione italiana con PeopleTools 8.61 o 8.62 esposto su internet rientra nel profilo bersaglio della campagna e deve verificare con urgenza lo stato di patch.
Approfondimenti correlati
- Estorsione Salesforce: ShinyHunters e 1,5 miliardi di dati rubati
- Violazione Odido: 6,2 milioni di clienti colpiti
- Patch Tuesday giugno 2026: 208 CVE e 3 zero-day
- NIS2 in Italia: multe da 10 milioni e solo il 3,9% pronto
- Operation Neusploit: APT28 e lo zero-day Office
- ENISA 2025: 4.900 incidenti cyber analizzati
- Sicurezza informatica: la guida completa di shattered.io
