{"id":178,"date":"2026-06-17T08:41:30","date_gmt":"2026-06-17T08:41:30","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/17\/oracle-peoplesoft-zero-day-cve-2026-35273\/"},"modified":"2026-06-17T08:42:48","modified_gmt":"2026-06-17T08:42:48","slug":"oracle-peoplesoft-zero-day-cve-2026-35273","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/17\/oracle-peoplesoft-zero-day-cve-2026-35273\/","title":{"rendered":"Zero-Day Oracle PeopleSoft: CVSS 9.8, 68% Atenei [2026]"},"content":{"rendered":"\n

Oracle ha pubblicato il 10 giugno 2026 un bollettino di sicurezza fuori ciclo per CVE-2026-35273<\/strong>, una falla critica in PeopleSoft Enterprise PeopleTools che gli aggressori sfruttavano gi\u00e0 da due settimane. Il punteggio CVSS 3.1 tocca 9.8 su 10, il massimo della fascia critica. Mandiant ha documentato lo sfruttamento attivo tra il 27 maggio e il 9 giugno 2026, prima che la patch esistesse, e ha collegato la campagna al gruppo di estorsione ShinyHunters. Il dato che inquadra la portata reale arriva dal settore colpito: il 68% delle oltre 100 organizzazioni avvisate sono universit\u00e0 e college.<\/p>\n\n\n\n

Questo Oracle PeopleSoft zero-day<\/strong> non \u00e8 un caso isolato. Arriva a otto mesi dalla campagna Cl0p contro Oracle E-Business Suite (CVE-2025-61882), sfrutta la stessa famiglia tecnica (Server-Side Request Forgery che porta a esecuzione di codice remoto) e coinvolge lo stesso ecosistema criminale. Per le universit\u00e0 europee e gli enti pubblici italiani che gestiscono studenti, ricerca e personale su PeopleSoft, la finestra di rischio \u00e8 gi\u00e0 aperta. Analizziamo i numeri, la catena di attacco, l’impatto normativo sotto NIS2 e GDPR, e cosa cambia per il mercato della sicurezza nella seconda met\u00e0 del 2026.<\/p>\n\n\n\n

Cosa \u00e8 successo: lo zero-day CVE-2026-35273 in sintesi<\/h2>\n\n\n\n

CVE-2026-35273 \u00e8 una vulnerabilit\u00e0 di esecuzione di codice remoto non autenticata nel componente Updates Environment Management di Oracle PeopleSoft Enterprise PeopleTools. Oracle la descrive come “facilmente sfruttabile” da un attaccante con accesso di rete via HTTP, senza credenziali e senza interazione dell’utente. Le versioni colpite sono PeopleTools 8.61 e 8.62. Anche i clienti delle PeopleSoft Enterprise Applications risultano potenzialmente esposti, perch\u00e9 quei moduli dipendono da PeopleTools.<\/p>\n\n\n\n

Il vettore CVSS \u00e8 CVSS:3.1\/AV:N\/AC:L\/PR:N\/UI:N\/S:U\/C:H\/I:H\/A:H, che si traduce in un attacco raggiungibile dalla rete, a bassa complessit\u00e0, senza privilegi e con impatto alto su riservatezza, integrit\u00e0 e disponibilit\u00e0. In pratica, un sistema PeopleSoft esposto su internet con la versione vulnerabile pu\u00f2 essere preso interamente sotto controllo da remoto. La gravit\u00e0 tecnica spiega perch\u00e9 Oracle ha rilasciato la correzione fuori dal normale ciclo trimestrale di Critical Patch Update, lo stesso giorno dell’avviso.<\/p>\n\n\n\n

La falla \u00e8 stata segnalata a Oracle da Bobby Gould della TrendAI Zero Day Initiative e da Lucas Miller di TrendAI Research, che hanno classificato il problema come Server-Side Request Forgery (CWE-918). La cronologia, per\u00f2, dimostra che la divulgazione coordinata \u00e8 arrivata in ritardo rispetto agli attaccanti: i criminali avevano gi\u00e0 armato l’exploit settimane prima del bollettino ufficiale. \u00c8 la definizione esatta di zero-day, una falla sfruttata prima che esista la patch.<\/p>\n\n\n\n

I numeri dell’attacco: cronologia dal 27 maggio al 12 giugno<\/h2>\n\n\n\n

La sequenza temporale ricostruita da Mandiant e Rapid7 comprime l’intera vicenda in tre settimane. Lo sfruttamento attivo parte il 27 maggio 2026 e prosegue fino al 9 giugno, lo stesso giorno in cui ShinyHunters pubblica i primi dati rubati sul proprio Data Leak Site. Mandiant rende pubblica l’analisi l’11 giugno. Oracle aveva gi\u00e0 diffuso il bollettino e la patch out-of-band il 10 giugno. La CISA statunitense aggiunge CVE-2026-35273 al catalogo Known Exploited Vulnerabilities il 12 giugno.<\/p>\n\n\n\n

Quattordici giorni separano l’inizio dell’attacco dalla disponibilit\u00e0 della correzione. In quella finestra, secondo i dati di Mandiant, oltre 100 organizzazioni hanno ricevuto notifica di compromissione. Il punteggio EPSS registrato nelle banche dati di vulnerabilit\u00e0 si attesta a 0.00717 al momento della pubblicazione, un valore destinato a salire man mano che gli scanner pubblici integrano gli indicatori di compromissione. La CISA ha legato la remediation alla direttiva BOD 26-04, che impone alle agenzie federali tempi stretti e requisiti di triage forense.<\/p>\n\n\n\n

Il National Vulnerability Database ha pubblicato la scheda l’11 giugno e l’ha aggiornata il 12. La rapidit\u00e0 con cui CISA, NVD e i vendor di threat intelligence hanno allineato i dati segnala il livello di allarme. Quando un RCE non autenticato con CVSS 9.8 viene sfruttato in natura contro un software ERP installato in migliaia di atenei, la priorit\u00e0 diventa immediata.<\/p>\n\n\n\n

Anatomia tecnica: dall’SSRF al remote code execution<\/h2>\n\n\n\n

Il cuore della vulnerabilit\u00e0 \u00e8 una Server-Side Request Forgery. In un attacco SSRF, l’aggressore induce il server a effettuare richieste di rete per suo conto, aggirando i controlli perimetrali e raggiungendo servizi interni che dovrebbero restare isolati. Nel caso di PeopleSoft, l’SSRF non si ferma alla semplice lettura di risorse interne: funge da meccanismo per arrivare all’esecuzione di codice. Mandiant descrive la falla come una vulnerabilit\u00e0 critica di RCE in cui l’SSRF \u00e8 il vettore con cui si ottiene il controllo del sistema.<\/p>\n\n\n\n

Gli endpoint PSEMHUB e PSIGW sotto attacco<\/h3>\n\n\n\n

L’analisi di Mandiant identifica due endpoint coinvolti nello sfruttamento: \/PSEMHUB\/hub<\/code> e \/PSIGW\/HttpListeningConnector<\/code>. Il primo appartiene all’Environment Management Hub, il componente che PeopleSoft usa per coordinare gli aggiornamenti tra i vari nodi dell’ambiente. \u00c8 esattamente la funzione “Updates Environment Management” indicata da Oracle come vulnerabile. Il secondo, il connettore HTTP dell’Integration Gateway, \u00e8 un punto di ingresso noto per i messaggi in arrivo. La combinazione consente all’attaccante non autenticato di forzare il server a eseguire la sua catena di richieste.<\/p>\n\n\n\n

# Endpoint presi di mira nella campagna (fonte: Mandiant, 11 giugno 2026)\n\/PSEMHUB\/hub\n\/PSIGW\/HttpListeningConnector\n\n# Verifica rapida dell'esposizione su internet\ncurl -s -o \/dev\/null -w \"%{http_code}\" https:\/\/tuo-server-peoplesoft\/PSEMHUB\/hub\n# Una risposta diversa da 404 indica un endpoint raggiungibile da bloccare con urgenza<\/code><\/pre>\n\n\n\n
MeshCentral per la persistenza<\/h3>\n\n\n\n
Secondo le prime ricostruzioni della campagna, dopo aver ottenuto l’esecuzione di codice gli aggressori hanno distribuito agenti MeshCentral per mantenere accesso remoto persistente. MeshCentral \u00e8 uno strumento open source legittimo di gestione remota, abusato sempre pi\u00f9 spesso dai gruppi criminali perch\u00e9 si confonde con il traffico amministrativo e raramente attiva allarmi nei sistemi di rilevamento. L’uso di software di amministrazione legittimo (la tecnica nota come living-off-the-land) riduce la superficie rilevabile e prolunga la permanenza nella rete della vittima, durante la quale avviene l’esfiltrazione dei dati.<\/p>\n\n\n\n
Perch\u00e9 le universit\u00e0 sono il bersaglio principale<\/h2>\n\n\n\n
Il dato pi\u00f9 rilevante della campagna \u00e8 la sua selettivit\u00e0. Mandiant riferisce che il 68% delle oltre 100 organizzazioni avvisate appartiene al settore dell’istruzione superiore. PeopleSoft Campus Solutions \u00e8 uno dei sistemi gestionali pi\u00f9 diffusi negli atenei di tutto il mondo per anagrafiche studenti, iscrizioni, pagamenti delle rette e dati del personale. Un singolo deployment compromesso espone dati bancari, documenti d’identit\u00e0, date di nascita e fascicoli accademici di decine di migliaia di persone.<\/p>\n\n\n\n
Le universit\u00e0 rappresentano un bersaglio ideale per ragioni strutturali. Dispongono di dataset enormi e ricchi di identificatori permanenti, ma operano con budget di sicurezza inferiori a quelli del settore finanziario o difesa. Spesso mantengono installazioni PeopleSoft datate, personalizzate e difficili da aggiornare in fretta, esposte su internet per consentire l’accesso remoto a studenti e docenti. La superficie d’attacco \u00e8 ampia e il tempo di patch \u00e8 lento, una combinazione che i gruppi di estorsione conoscono bene.<\/p>\n\n\n\n
In Europa, dove gli atenei pubblici trattano dati sotto il regime GDPR, una violazione di questa natura genera obblighi di notifica entro 72 ore e potenziali sanzioni elevate. La pressione regolatoria si somma al danno reputazionale e al rischio di azioni collettive da parte di studenti e personale, sul modello di quanto gi\u00e0 visto in altri grandi data breach europei del 2026.<\/p>\n\n\n\n
ShinyHunters: chi c’\u00e8 dietro l’estorsione<\/h2>\n\n\n\n
ShinyHunters \u00e8 un collettivo di estorsione a motivazione finanziaria attivo da anni, riemerso nel 2025-2026 come uno degli attori pi\u00f9 aggressivi nel furto di dati. Il gruppo opera con un modello ricorrente: compromette l’obiettivo, esfiltra grandi volumi di dati, pubblica un campione sul proprio Data Leak Site e chiede un riscatto per non diffondere il resto. Nella campagna PeopleSoft, i dati rubati sono comparsi sul DLS del gruppo il 9 giugno 2026.<\/p>\n\n\n\n
Il nome ShinyHunters compare in alcune delle pi\u00f9 gravi violazioni recenti. Il collettivo, intrecciato con le sigle Scattered LAPSUS$ Hunters, \u00e8 stato collegato alla campagna di estorsione contro i clienti Salesforce e alla violazione della compagnia telefonica olandese Odido, che ha esposto i dati di 6,2 milioni di clienti. La continuit\u00e0 tra questi episodi mostra un gruppo che alterna ingegneria sociale, abuso di credenziali e sfruttamento di zero-day a seconda dell’obiettivo. Con PeopleSoft, la scelta \u00e8 caduta su una falla tecnica di alto valore contro un settore vulnerabile.<\/p>\n\n\n\n
Scheda tecnica della vulnerabilit\u00e0 CVE-2026-35273<\/h2>\n\n\n\n
La tabella seguente riassume i parametri verificati della vulnerabilit\u00e0, utili per la valutazione del rischio e la prioritizzazione degli interventi.<\/p>\n\n\n\n
Parametro<\/th>Valore<\/th><\/tr><\/thead>
Identificativo CVE<\/td>CVE-2026-35273<\/td><\/tr>
Prodotto<\/td>Oracle PeopleSoft Enterprise PeopleTools<\/td><\/tr>
Componente<\/td>Updates Environment Management<\/td><\/tr>
Tipo di falla<\/td>Server-Side Request Forgery (CWE-918) verso RCE<\/td><\/tr>
Punteggio CVSS 3.1<\/td>9.8 (Critico)<\/td><\/tr>
Vettore CVSS<\/td>AV:N\/AC:L\/PR:N\/UI:N\/S:U\/C:H\/I:H\/A:H<\/td><\/tr>
Versioni colpite<\/td>PeopleTools 8.61 e 8.62<\/td><\/tr>
Autenticazione richiesta<\/td>Nessuna<\/td><\/tr>
Bollettino Oracle<\/td>10 giugno 2026 (fuori ciclo)<\/td><\/tr>
Sfruttamento attivo<\/td>27 maggio – 9 giugno 2026<\/td><\/tr>
Aggiunta a CISA KEV<\/td>12 giugno 2026<\/td><\/tr>
Punteggio EPSS iniziale<\/td>0.00717<\/td><\/tr>
Attribuzione<\/td>ShinyHunters<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
I due endpoint da monitorare restano \/PSEMHUB\/hub<\/code> e \/PSIGW\/HttpListeningConnector<\/code>. Qualsiasi traffico anomalo verso questi percorsi su un sistema con PeopleTools 8.61 o 8.62 va trattato come potenziale indicatore di compromissione fino a prova contraria.<\/p>\n\n\n\n
Confronto con la campagna Oracle E-Business Suite di Cl0p<\/h2>\n\n\n\n
Per capire la traiettoria, conviene mettere CVE-2026-35273 accanto a CVE-2025-61882, la falla Oracle E-Business Suite sfruttata da Cl0p nell’autunno 2025. I parallelismi sono evidenti: stesso vendor, stesso punteggio CVSS 9.8, stessa famiglia tecnica basata su SSRF, stesso modello di estorsione tramite Data Leak Site. La differenza chiave \u00e8 il bersaglio. Cl0p ha colpito ampiamente le grandi imprese che usano l’ERP finanziario di Oracle, mentre ShinyHunters ha concentrato il fuoco sull’istruzione superiore.<\/p>\n\n\n\n
Caratteristica<\/th>CVE-2026-35273 (PeopleSoft)<\/th>CVE-2025-61882 (E-Business Suite)<\/th><\/tr><\/thead>
Prodotto Oracle<\/td>PeopleSoft PeopleTools<\/td>E-Business Suite<\/td><\/tr>
Componente<\/td>Updates Environment Management<\/td>BI Publisher Integration<\/td><\/tr>
CVSS 3.1<\/td>9.8<\/td>9.8<\/td><\/tr>
Tecnica<\/td>SSRF verso RCE<\/td>SSRF, CRLF injection, bypass auth, XSLT<\/td><\/tr>
Versioni colpite<\/td>8.61, 8.62<\/td>12.2.3 – 12.2.14<\/td><\/tr>
Gruppo attribuito<\/td>ShinyHunters<\/td>Cl0p \/ Scattered LAPSUS$ Hunters<\/td><\/tr>
Bersaglio prevalente<\/td>Universit\u00e0 (68%)<\/td>Grandi imprese ERP<\/td><\/tr>
Patch fuori ciclo<\/td>10 giugno 2026<\/td>4 ottobre 2025<\/td><\/tr>
Aggiunta a CISA KEV<\/td>12 giugno 2026<\/td>6 ottobre 2025<\/td><\/tr>
Avviso threat intel<\/td>Mandiant, 11 giugno 2026<\/td>Google TIG\/Mandiant, 2 ottobre 2025<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
La campagna Cl0p del 2025 aveva mostrato che gli attaccanti tenevano l’exploit pronto da settimane: i primi accessi risalivano intorno al 9 agosto 2025, mentre l’estorsione di massa \u00e8 iniziata il 29 settembre. Lo schema si ripete nel 2026 con PeopleSoft, dove lo sfruttamento precede la patch di due settimane. Oracle, in entrambi i casi, ha reagito con un rilascio di emergenza, segnale che il suo portafoglio ERP \u00e8 diventato un bersaglio prioritario per i gruppi di estorsione.<\/p>\n\n\n\n
L’impatto per l’Europa e l’Italia<\/h2>\n\n\n\n
PeopleSoft \u00e8 diffuso negli atenei e nelle pubbliche amministrazioni di tutta Europa, spesso in configurazioni ereditate da migrazioni avvenute oltre un decennio fa. Le universit\u00e0 italiane che impiegano moduli Campus Solutions o Human Capital Management su versioni PeopleTools 8.61 o 8.62 ricadono direttamente nel perimetro della vulnerabilit\u00e0. Anche enti che non gestiscono direttamente l’infrastruttura, ma la affidano a fornitori in outsourcing, devono verificare con urgenza lo stato di patch dei sistemi.<\/p>\n\n\n\n
Il rischio europeo non \u00e8 teorico. La campagna Cl0p del 2025 e la violazione Odido del febbraio 2026 hanno dimostrato che i gruppi di estorsione non distinguono tra vittime statunitensi ed europee. Un ateneo italiano con un PeopleSoft esposto su internet \u00e8 esattamente il profilo che ShinyHunters ha cercato in questa campagna. La concentrazione del 68% sull’istruzione superiore amplifica la probabilit\u00e0 che universit\u00e0 del Vecchio Continente compaiano tra le vittime nelle settimane successive alla pubblicazione dei dati.<\/p>\n\n\n\n
Il dato di contesto europeo \u00e8 preoccupante. Secondo le analisi di settore, gli attacchi di cybercrime lanciati dall’Europa hanno superato i 50 milioni nel primo trimestre, e il continente ha visto una crescita degli attacchi ransomware di quattro volte dal 2021. L’istruzione e la ricerca, settori storicamente sotto-finanziati sul fronte sicurezza, assorbono una quota crescente di questi attacchi.<\/p>\n\n\n\n
NIS2, GDPR e gli obblighi di notifica<\/h2>\n\n\n\n
Una violazione di PeopleSoft in un ente europeo attiva due regimi normativi distinti. Sul fronte protezione dei dati, il GDPR impone la notifica all’autorit\u00e0 di controllo entro 72 ore dalla scoperta e la comunicazione agli interessati quando il rischio per i loro diritti \u00e8 elevato. Le sanzioni per le violazioni pi\u00f9 gravi arrivano fino a 20 milioni di euro o al 4% del fatturato annuo globale, a seconda di quale importo sia maggiore. Per un ateneo, anche la fascia bassa di queste sanzioni rappresenta un colpo di bilancio significativo.<\/p>\n\n\n\n
Sul fronte cybersicurezza, la direttiva NIS2 ha alzato l’asticella per i soggetti essenziali e importanti, categoria in cui molti Stati membri includono enti di ricerca e pubblica amministrazione. NIS2 richiede misure di gestione del rischio, governance documentata e notifica tempestiva degli incidenti significativi. Un RCE non autenticato sfruttato attivamente rientra senza ambiguit\u00e0 nella categoria di evento che fa scattare gli obblighi di reporting e l’esame della catena di responsabilit\u00e0 del management.<\/p>\n\n\n\n
La combinazione di GDPR e NIS2 significa che un singolo zero-day PeopleSoft pu\u00f2 tradursi in un doppio binario di esposizione legale: sanzioni per la protezione dei dati e contestazioni per inadeguatezza delle misure di sicurezza. Le organizzazioni che dimostrano patch tempestiva, segmentazione di rete e monitoraggio attivo riducono entrambi i rischi.<\/p>\n\n\n\n
La risposta di Oracle e CISA<\/h2>\n\n\n\n
Oracle ha gestito CVE-2026-35273 come un’emergenza. Il bollettino del 10 giugno \u00e8 arrivato fuori dal consueto Critical Patch Update trimestrale, accompagnato da una patch disponibile lo stesso giorno tramite il Patch Availability Document su Oracle Support. L’azienda ha definito le mitigazioni “una misura di riduzione del rischio ad alta priorit\u00e0” e ha raccomandato un’azione immediata. Oracle ha inoltre ricordato che le versioni non pi\u00f9 supportate potrebbero non essere testate per la vulnerabilit\u00e0, spingendo verso l’aggiornamento a release attive.<\/p>\n\n\n\n
La CISA ha inserito la falla nel catalogo Known Exploited Vulnerabilities il 12 giugno, descrivendola come “Missing Authentication for Critical Function” e legandola alla direttiva BOD 26-04, che impone alle agenzie federali statunitensi tempi di remediation stringenti e requisiti di triage forense. Sebbene la BOD valga formalmente solo per le agenzie USA, l’inserimento nel KEV funziona da segnale globale: indica che la vulnerabilit\u00e0 \u00e8 sfruttata in natura e va trattata con la massima urgenza in qualsiasi giurisdizione.<\/p>\n\n\n\n
Cosa devono fare subito gli amministratori PeopleSoft<\/h2>\n\n\n\n
La priorit\u00e0 assoluta \u00e8 applicare la patch Oracle per PeopleTools 8.61 e 8.62. Dove l’aggiornamento immediato non \u00e8 possibile, le mitigazioni perimetrali riducono la finestra di esposizione mentre si pianifica il deployment.<\/p>\n\n\n\n
# Checklist di risposta a CVE-2026-35273\n\n# 1. Identifica le versioni vulnerabili\n#    Verifica se l'ambiente usa PeopleTools 8.61 o 8.62\n\n# 2. Applica la patch Oracle fuori ciclo (Patch Availability Document)\n\n# 3. Riduci l'esposizione HTTP: limita gli endpoint amministrativi\n#    a reti fidate, blocca l'accesso non necessario da internet\nlocation ~* ^\/(PSEMHUB|PSIGW) {\n    allow 10.0.0.0\/8;      # solo reti interne fidate\n    deny all;\n}\n\n# 4. Cerca indicatori di compromissione nei log del web server\ngrep -E \"\/PSEMHUB\/hub|\/PSIGW\/HttpListeningConnector\" access.log\n\n# 5. Verifica la presenza di agenti MeshCentral non autorizzati\n#    e di processi o connessioni in uscita anomale<\/code><\/pre>\n\n\n\n
Oltre alla patch, gli amministratori dovrebbero condurre una caccia retrospettiva alle minacce coprendo l’intera finestra dal 27 maggio in avanti, perch\u00e9 un sistema compromesso prima dell’aggiornamento resta sotto controllo dell’attaccante anche dopo la correzione. La presenza di MeshCentral, di account anomali o di esfiltrazioni verso server esterni va trattata come incidente confermato, con attivazione delle procedure di notifica GDPR e NIS2.<\/p>\n\n\n\n
Analisi di mercato: perch\u00e9 i dati universitari valgono tanto<\/h2>\n\n\n\n
La scelta del settore istruzione non \u00e8 casuale dal punto di vista economico. I fascicoli universitari combinano identificatori permanenti (documenti, codici fiscali, date di nascita) con dati finanziari e anagrafici aggiornati. A differenza di una carta di credito, che si pu\u00f2 bloccare in pochi minuti, questi identificatori non si possono “ruotare”. Sul mercato nero mantengono valore per anni, alimentando frodi d’identit\u00e0, apertura di conti fraudolenti e attacchi di phishing mirato.<\/p>\n\n\n\n
Per i fornitori di sicurezza, la campagna PeopleSoft conferma una tendenza gi\u00e0 visibile con Cl0p: gli attacchi si spostano dai singoli endpoint verso le applicazioni enterprise mission-critical, dove un solo exploit espone milioni di record. Cresce la domanda di soluzioni di Attack Surface Management, di virtual patching a livello di Web Application Firewall e di servizi gestiti di threat hunting capaci di coprire la finestra tra divulgazione e applicazione della patch. Il segmento della sicurezza applicativa enterprise \u00e8 uno dei pochi a registrare investimenti in controtendenza rispetto ai tagli IT generalizzati.<\/p>\n\n\n\n
Per Oracle, due zero-day critici sfruttati in natura sul portafoglio ERP nel giro di otto mesi rappresentano un problema di reputazione che incide sulle scelte di acquisto. I clienti chiedono maggiore trasparenza sui tempi di divulgazione e architetture di rilascio patch pi\u00f9 rapide, in un contesto in cui i concorrenti cloud-native promettono aggiornamenti continui senza finestre di manutenzione.<\/p>\n\n\n\n
Cinque previsioni per la seconda met\u00e0 del 2026<\/h2>\n\n\n\n
Sulla base della traiettoria osservata tra la campagna Cl0p del 2025 e questo zero-day PeopleSoft, ecco cinque sviluppi probabili nei prossimi mesi.<\/p>\n\n\n\n
  1. Nuove vittime europee emergeranno.<\/strong> Con il 68% dei bersagli nell’istruzione superiore e i dati gi\u00e0 sul Data Leak Site, \u00e8 probabile che diversi atenei europei, inclusi alcuni italiani, compaiano tra le vittime confermate entro l’estate.<\/li>
  2. Altri zero-day Oracle ERP nel mirino.<\/strong> Il successo di SSRF verso RCE su EBS e PeopleSoft spinger\u00e0 ricercatori e criminali a cercare falle analoghe in altri moduli Oracle, con nuovi bollettini fuori ciclo attesi nel 2026.<\/li>
  3. Le autorit\u00e0 GDPR apriranno istruttorie.<\/strong> Sul modello delle indagini gi\u00e0 avviate per altri grandi breach europei del 2026, i garanti nazionali esamineranno l’adeguatezza delle misure di sicurezza degli enti colpiti.<\/li>
  4. Crescer\u00e0 l’adozione del virtual patching.<\/strong> La finestra di due settimane tra sfruttamento e patch render\u00e0 standard, nelle universit\u00e0, le regole WAF e la segmentazione di rete come prima linea di difesa.<\/li>
  5. ShinyHunters rester\u00e0 ad alta attivit\u00e0.<\/strong> Il gruppo ha dimostrato capacit\u00e0 sia di ingegneria sociale sia di sfruttamento di zero-day; \u00e8 ragionevole attendersi nuove campagne contro applicazioni enterprise ad alto valore nel secondo semestre.<\/li><\/ol>\n\n\n\n
    Domande frequenti su CVE-2026-35273<\/h2>\n\n\n\n
    Quali versioni di Oracle PeopleSoft sono vulnerabili?<\/h3>\n\n\n\n
    Oracle indica come colpite le versioni PeopleSoft Enterprise PeopleTools 8.61 e 8.62. Anche i clienti delle PeopleSoft Enterprise Applications possono essere esposti, perch\u00e9 quei moduli dipendono da PeopleTools. Le installazioni con queste versioni vanno trattate come prioritarie per la patch.<\/p>\n\n\n\n
    Quanto \u00e8 grave la vulnerabilit\u00e0?<\/h3>\n\n\n\n
    Molto grave. Il punteggio CVSS 3.1 \u00e8 9.8 su 10, nella fascia critica. La falla consente a un attaccante non autenticato, raggiungibile via rete HTTP, di eseguire codice da remoto e prendere il controllo del sistema PeopleSoft, con impatto alto su riservatezza, integrit\u00e0 e disponibilit\u00e0.<\/p>\n\n\n\n
    Chi sta sfruttando CVE-2026-35273?<\/h3>\n\n\n\n
    Mandiant ha collegato la campagna al gruppo di estorsione a motivazione finanziaria ShinyHunters, che ha pubblicato i primi dati rubati sul proprio Data Leak Site il 9 giugno 2026. Lo sfruttamento attivo \u00e8 stato osservato tra il 27 maggio e il 9 giugno.<\/p>\n\n\n\n
    La patch \u00e8 gi\u00e0 disponibile?<\/h3>\n\n\n\n
    S\u00ec. Oracle ha rilasciato una correzione fuori ciclo il 10 giugno 2026, lo stesso giorno del bollettino di sicurezza. Le istruzioni di installazione sono nel Patch Availability Document su Oracle Support. La CISA ha aggiunto la falla al catalogo KEV il 12 giugno.<\/p>\n\n\n\n
    Cosa succede se un ateneo europeo subisce la violazione?<\/h3>\n\n\n\n
    Scattano gli obblighi GDPR (notifica entro 72 ore, sanzioni fino a 20 milioni di euro o 4% del fatturato globale) e quelli NIS2 per i soggetti essenziali e importanti. L’ente deve notificare l’incidente, comunicarlo agli interessati a rischio elevato e dimostrare l’adeguatezza delle misure di sicurezza adottate.<\/p>\n\n\n\n
    Come si pu\u00f2 difendere chi non pu\u00f2 aggiornare subito?<\/h3>\n\n\n\n
    La mitigazione principale \u00e8 ridurre l’esposizione HTTP: limitare gli endpoint amministrativi e di integrazione (come \/PSEMHUB\/hub e \/PSIGW\/HttpListeningConnector) alle sole reti fidate e bloccare l’accesso non necessario da internet. Va affiancata da threat hunting retrospettivo e monitoraggio per agenti MeshCentral non autorizzati.<\/p>\n\n\n\n
    Che differenza c’\u00e8 con la campagna Cl0p del 2025?<\/h3>\n\n\n\n
    Entrambe sfruttano zero-day Oracle con CVSS 9.8 e tecnica SSRF, ma colpiscono prodotti diversi (PeopleSoft contro E-Business Suite) e gruppi diversi (ShinyHunters contro Cl0p). La novit\u00e0 del 2026 \u00e8 la concentrazione sull’istruzione superiore, con il 68% delle vittime tra universit\u00e0 e college.<\/p>\n\n\n\n
    L’Italia \u00e8 coinvolta?<\/h3>\n\n\n\n
    Non esiste al momento una lista pubblica di vittime per nazione, ma PeopleSoft \u00e8 diffuso negli atenei e nella pubblica amministrazione europea, Italia inclusa. Ogni organizzazione italiana con PeopleTools 8.61 o 8.62 esposto su internet rientra nel profilo bersaglio della campagna e deve verificare con urgenza lo stato di patch.<\/p>\n\n\n\n
    Approfondimenti correlati<\/h3>\n\n\n\n