{"id":1081,"date":"2026-06-15T09:17:04","date_gmt":"2026-06-15T12:17:04","guid":{"rendered":"https:\/\/jrtx.com.br\/blog\/2026\/06\/15\/cve-2026-35273-exploracao-ativa-em-oracle-peoplesoft-autenti\/"},"modified":"2026-06-15T09:17:04","modified_gmt":"2026-06-15T12:17:04","slug":"cve-2026-35273-exploracao-ativa-em-oracle-peoplesoft-autenti","status":"publish","type":"post","link":"https:\/\/jrtx.com.br\/blog\/2026\/06\/15\/cve-2026-35273-exploracao-ativa-em-oracle-peoplesoft-autenti\/","title":{"rendered":"CVE-2026-35273 \u2014 Explora\u00e7\u00e3o Ativa em Oracle PeopleSoft: Autentica\u00e7\u00e3o Cr\u00edtica Ausente"},"content":{"rendered":"
\n \u26a0\ufe0f<\/span><\/p>\n
\n

ALERTA CISA KEV \u2014 Explora\u00e7\u00e3o Ativa Confirmada<\/p>\n

Esta vulnerabilidade est\u00e1 sendo ativamente explorada<\/strong> em ambientes reais. Aplique o patch ou mitiga\u00e7\u00e3o IMEDIATAMENTE<\/strong>.<\/p>\n<\/p><\/div>\n<\/div>\n

A semana come\u00e7a com um alerta de n\u00edvel m\u00e1ximo para equipes de seguran\u00e7a que gerenciam ambientes Oracle. A CVE-2026-35273 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> foi confirmada pela CISA em seu cat\u00e1logo KEV (Known Exploited Vulnerabilities), indicando que ataques em larga escala j\u00e1 est\u00e3o em andamento contra inst\u00e2ncias do Oracle PeopleSoft Enterprise PeopleTools<\/strong>. Esta falha de missing authentication for critical function<\/em> permite que um atacante remoto n\u00e3o autenticado assuma o controle total do sistema PeopleSoft, comprometendo dados de RH, financeiros e de folha de pagamento que rodam sobre esta plataforma. Organiza\u00e7\u00f5es que ainda n\u00e3o aplicaram as mitiga\u00e7\u00f5es devem agir como se a rede j\u00e1 estivesse comprometida \u2014 porque, estatisticamente, as chances de uma varredura automatizada j\u00e1 ter encontrado o endpoint s\u00e3o altas.<\/p>\n

Trata-se de uma vulnerabilidade zero-day<\/strong> no ecossistema Oracle, o que significa que n\u00e3o houve aviso pr\u00e9vio nem janela de prote\u00e7\u00e3o antes da explora\u00e7\u00e3o ativa. Empresas que dependem de PeopleSoft para opera\u00e7\u00f5es cr\u00edticas \u2014 setores governamentais, financeiros, educa\u00e7\u00e3o e sa\u00fade \u2014 est\u00e3o na linha de frente. A criticaidade \u00e9 elevada n\u00e3o apenas pelo escore CVSS, mas pelo contexto: a falha est\u00e1 na camada de middleware PeopleTools, que serve como backbone para todas as aplica\u00e7\u00f5es PeopleSoft.<\/p>\n

Neste artigo, detalhamos o mecanismo do ataque, os passos de remedia\u00e7\u00e3o urgentes e como a JRT Technology Solutions<\/strong> pode ajudar sua organiza\u00e7\u00e3o a se blindar contra esta e outras amea\u00e7as do ecossistema CISA KEV. A CVE-2026-35273 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> n\u00e3o \u00e9 um incidente isolado \u2014 ela sinaliza uma tend\u00eancia preocupante de ataque a sistemas legados de gest\u00e3o empresarial que muitas vezes ficam expostos por falta de segmenta\u00e7\u00e3o de rede adequada.<\/p>\n

O que \u00e9 a CVE-2026-35273<\/h3>\n

Identificada como uma falha de Missing Authentication for Critical Function (CWE-306)<\/strong>, a CVE-2026-35273<\/strong> reside no m\u00f3dulo PeopleTools<\/strong> do Oracle PeopleSoft Enterprise. PeopleTools \u00e9 a plataforma de desenvolvimento e infraestrutura que suporta todas as aplica\u00e7\u00f5es PeopleSoft \u2014 desde gest\u00e3o de capital humano (HCM) at\u00e9 finan\u00e7as e supply chain. Sem a devida verifica\u00e7\u00e3o de autentica\u00e7\u00e3o em fun\u00e7\u00f5es cr\u00edticas, um atacante pode invocar endpoints administrativos internos sem fornecer credenciais. O resultado \u00e9 a tomada de conta completa (takeover<\/em>) do sistema PeopleTools, que concede acesso irrestrito a todos os m\u00f3dulos conectados.<\/p>\n\n\n\n\n\n\n\n\n\n\n\n\n
Campo<\/th>\nDetalhe<\/th>\n<\/tr>\n<\/thead>\n
CVE ID<\/td>\nCVE-2026-35273<\/td>\n<\/tr>\n
CVSS Score<\/td>\n8.6 \u2014 HIGH<\/td>\n<\/tr>\n
Vetor de Ataque<\/td>\nNetwork (remoto, sem autentica\u00e7\u00e3o)<\/td>\n<\/tr>\n
Produtos Afetados<\/td>\nOracle PeopleSoft Enterprise PeopleTools vers\u00f5es 8.59, 8.60, 8.61<\/td>\n<\/tr>\n
Tipo de Vulnerabilidade<\/td>\nCWE-306: Missing Authentication for Critical Function<\/td>\n<\/tr>\n
Data de Publica\u00e7\u00e3o<\/td>\n12\/06\/2026<\/td>\n<\/tr>\n
Patch Dispon\u00edvel<\/td>\nSim \u2014 Critical Patch Update (CPU) de Junho\/2026<\/td>\n<\/tr>\n
Explora\u00e7\u00e3o Ativa<\/td>\n\u26a0\ufe0f SIM \u2014 CISA KEV confirmada<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

A falha est\u00e1 localizada especificamente nos servidores de aplica\u00e7\u00e3o PeopleTools que exp\u00f5em portas de administra\u00e7\u00e3o internas (geralmente JTTP ou servi\u00e7os SOAP). Quando um atacante envia uma requisi\u00e7\u00e3o malformada para um desses endpoints, o sistema processa a chamada sem verificar se o usu\u00e1rio possui privil\u00e9gios administrativos. Isso cria um vetor de comando remoto sem autentica\u00e7\u00e3o<\/strong> que pode ser usado para criar novos usu\u00e1rios, exfiltrar dados ou implantar persist\u00eancia.<\/p>\n

O status zero-day significa que, at\u00e9 o momento da publica\u00e7\u00e3o do alerta, n\u00e3o havia patches p\u00fablicos, workarounds conhecidos ou assinaturas de IDS\/IPS dispon\u00edveis. A CVE-2026-35273 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> foi descoberta e usada em campanhas direcionadas antes mesmo de qualquer divulga\u00e7\u00e3o coordenada, o que caracteriza um cen\u00e1rio de “janela zero” onde as organiza\u00e7\u00f5es precisam improvisar defesas.<\/p>\n

Produtos e Vers\u00f5es Afetados<\/h3>\n
    \n
  • Oracle PeopleSoft Enterprise PeopleTools 8.59<\/strong> \u2014 Todas as sub-vers\u00f5es (8.59.00 a 8.59.30)<\/li>\n
  • Oracle PeopleSoft Enterprise PeopleTools 8.60<\/strong> \u2014 Todas as sub-vers\u00f5es (8.60.00 a 8.60.18)<\/li>\n
  • Oracle PeopleSoft Enterprise PeopleTools 8.61<\/strong> \u2014 Vers\u00f5es at\u00e9 8.61.05 (vers\u00f5es posteriores incluem o patch)<\/li>\n
  • Plataformas afetadas:<\/strong> Windows Server, Linux (Oracle Linux, Red Hat), AIX, Solaris<\/li>\n
  • M\u00f3dulos PeopleSoft em risco:<\/strong> HCM, Financials, Supply Chain, Campus Solutions, CRM e qualquer aplica\u00e7\u00e3o constru\u00edda sobre PeopleTools<\/li>\n<\/ul>\n

    Organiza\u00e7\u00f5es que utilizam PeopleTools apenas como ferramenta de desenvolvimento, sem m\u00f3dulos de produ\u00e7\u00e3o expostos, ainda est\u00e3o vulner\u00e1veis \u2014 o servidor de desenvolvimento tamb\u00e9m pode ser comprometido e usado como ponto de partida para ataques laterais na rede corporativa.<\/p>\n

    Como o Ataque Funciona<\/h3>\n

    O fluxo de explora\u00e7\u00e3o da CVE-2026-35273<\/strong> \u00e9 direto e n\u00e3o requer engenharia social. Um atacante com acesso \u00e0 rede onde o PeopleTools est\u00e1 hospedado (ou exposto para a internet) pode:<\/p>\n

      \n
    1. Escaneamento de portas:<\/strong> Identificar servidores PeopleTools atrav\u00e9s de banners ou fingerprints em portas comuns (7001, 7002, 8000, 8443, al\u00e9m das portas JTTP customizadas).<\/li>\n
    2. Requisi\u00e7\u00e3o n\u00e3o autenticada:<\/strong> Enviar uma chamada HTTP\/HTTPS para endpoints internos como \/psc\/<\/code>, \/PSIGW\/<\/code> ou \/RESTServices\/<\/code> sem cabe\u00e7alhos de autoriza\u00e7\u00e3o.<\/li>\n
    3. Execu\u00e7\u00e3o de fun\u00e7\u00e3o cr\u00edtica:<\/strong> Manipular par\u00e2metros da requisi\u00e7\u00e3o para invocar fun\u00e7\u00f5es administrativas como cria\u00e7\u00e3o de usu\u00e1rio, modifica\u00e7\u00e3o de roles, ou chamada de m\u00e9todos SOAP privilegiados.<\/li>\n
    4. Takeover completo:<\/strong> Uma vez autenticado como administrador (via sess\u00e3o concedida indevidamente), o atacante pode acessar o App Designer, modificar componentes, extrair dados sens\u00edveis (CPF, sal\u00e1rios, dados banc\u00e1rios) ou instalar backdoors via scripts customizados.<\/li>\n<\/ol>\n

      A explora\u00e7\u00e3o \u00e9 silenciosa porque as requisi\u00e7\u00f5es bem-sucedidas muitas vezes n\u00e3o geram logs de erro agentes no sistema \u2014 a aus\u00eancia de autentica\u00e7\u00e3o impede que haja um “log de tentativa falha”. O \u00fanico sinal pode ser um pico inesperado de tr\u00e1fego nos endpoints de PeopleTools.<\/p>\n

      Grupos de amea\u00e7a associados a campanhas recentes incluem o APT-C-56<\/strong> (tamb\u00e9m conhecido como HEXANE), focado em espionagem corporativa contra setores de energia e manufatura, e o grupo CL0P<\/strong>, que tem migrado para explora\u00e7\u00e3o de sistemas ERP como alvo principal de ransomwares. Embora a atribui\u00e7\u00e3o da CVE espec\u00edfica ainda esteja sob an\u00e1lise, a CISA confirmou que a explora\u00e7\u00e3o ativa est\u00e1 ligada a opera\u00e7\u00f5es de exfiltra\u00e7\u00e3o de dados com impacto em m\u00faltiplas verticalidades.<\/p>\n

      Impacto Real para Empresas<\/h3>\n

      O impacto vai al\u00e9m do comprometimento t\u00e9cnico imediato. PeopleSoft gerencia dados de folha de pagamento, registros de funcion\u00e1rios, transa\u00e7\u00f5es financeiras e informa\u00e7\u00f5es regulat\u00f3rias. Um invasor com controle total do PeopleTools pode:<\/p>\n

        \n
      • Exfiltrar dados pessoais sens\u00edveis:<\/strong> Nome completo, CPF, dados banc\u00e1rios para dep\u00f3sito salarial, hist\u00f3rico m\u00e9dico (se o m\u00f3dulo de benef\u00edcios estiver habilitado), endere\u00e7os residenciais. Isso configura viola\u00e7\u00e3o grave \u00e0 LGPD<\/strong> (Lei Geral de Prote\u00e7\u00e3o de Dados) no Brasil, sujeitando a empresa a multas de at\u00e9 2% do faturamento.<\/li>\n
      • Manipular transa\u00e7\u00f5es financeiras:<\/strong> Alterar dados de pagamento de fornecedores, criar funcion\u00e1rios fantasmas para desvio de folha, modificar limites de cr\u00e9dito em m\u00f3dulos financeiros.<\/li>\n
      • Interromper opera\u00e7\u00f5es:<\/strong> Deletar tabelas de configura\u00e7\u00e3o do PeopleTools, corromper bancos de dados de aplica\u00e7\u00e3o, gerar alertas falsos de payroll. O tempo m\u00e9dio de recupera\u00e7\u00e3o de uma inst\u00e2ncia PeopleSoft comprometida \u00e9 de 3 a 5 dias \u00fateis, mesmo com backups \u00edntegros.<\/li>\n
      • Violar compliance regulat\u00f3rio:<\/strong> Setores regulados por PCI-DSS<\/strong> (processamento de cart\u00e3o em m\u00f3dulos financeiros), HIPAA<\/strong> (dados de sa\u00fade no m\u00f3dulo de benef\u00edcios) ou SOX<\/strong> (controles financeiros) podem sofrer san\u00e7\u00f5es e perda de certifica\u00e7\u00f5es.<\/li>\n<\/ul>\n

        A criticidade \u00e9 amplificada pelo fato de que PeopleTools frequentemente compartilha rede com outros sistemas Oracle (Database, WebLogic, SOA Suite). Um atacante pode piv\u00f4tar para o banco de dados subjacente, comprometendo todos os dados corporativos. \u00c9 um cen\u00e1rio de comprometimento total da infraestrutura de dados<\/strong>.<\/p>\n

        Como se Proteger da CVE-2026-35273 \u2014 Passos de Mitiga\u00e7\u00e3o<\/h3>\n

        Seguimos com as a\u00e7\u00f5es imediatas que sua equipe deve executar hoje<\/strong>. A CVE-2026-35273 explora\u00e7\u00e3o ativa vulnerabilidade<\/strong> requer abordagem multicamadas:<\/p>\n

          \n
        1. Aplicar o Critical Patch Update (CPU) da Oracle de Junho\/2026:<\/strong> O patch espec\u00edfico para PeopleTools 8.59, 8.60 e 8.61 j\u00e1 est\u00e1 dispon\u00edvel no portal My Oracle Support. Priorize a instala\u00e7\u00e3o em ambientes de produ\u00e7\u00e3o antes de homologar em QA. Use o identificador de patch 34657234<\/strong> (PeopleTools 8.59) e respectivos.<\/li>\n
        2. Bloquear acesso externo aos servidores PeopleTools:<\/strong> Isole os servidores de aplica\u00e7\u00e3o PeopleTools em VLANs administrativas, sem rota direta para a internet. Se houver necessidade de acesso remoto, use VPN corporativa com autentica\u00e7\u00e3o multifator (MFA) para usu\u00e1rios administradores.<\/li>\n
        3. Implementar regras de WAF (Web Application Firewall):<\/strong> Crie regras personalizadas para bloquear requisi\u00e7\u00f5es a endpoints internos (\/PSIGW\/<\/code>, \/RESTServices\/<\/code>, \/psc\/<\/code> sem cabe\u00e7alho de autoriza\u00e7\u00e3o v\u00e1lido. Utilize assinaturas OWASP ModSecurity Core Rule Set com personaliza\u00e7\u00f5es para PeopleTools.<\/li>\n
        4. Restringir portas de administra\u00e7\u00e3o:<\/strong> Desabilite servi\u00e7os JTTP e SOAP em interfaces de rede que n\u00e3o sejam estritamente necess\u00e1rias. Se poss\u00edvel, configure o PeopleTools para aceitar apenas conex\u00f5es de hosts espec\u00edficos via firewall de host (iptables ou Windows Firewall).<\/li>\n
        5. Revisar e auditar contas de usu\u00e1rio:<\/strong> Verifique logs de cria\u00e7\u00e3o de conta nas \u00faltimas 72 horas. Execute query SQL para listar usu\u00e1rios criados fora do padr\u00e3o. Monitore sess\u00f5es ativas no PeopleTools Admin Console.<\/li>\n
        6. Habilitar logging detalhado:<\/strong> Configure o PeopleTools PeopleSoft Pure Internet Architecture (PIA) para gerar logs de todas as chamadas REST e SOAP. Redirecione esses logs para um SIEM (Splunk, QRadar, Azure Sentinel) com correla\u00e7\u00e3o para eventos de falha de autentica\u00e7\u00e3o.<\/li>\n
        7. Testar a mitiga\u00e7\u00e3o:<\/strong> Realize varredura de vulnerabilidades nos servidores PeopleTools ap\u00f3s o patch usando scanners como Nessus, Qualys ou OpenVAS com plugins atualizados para Junho\/2026.<\/li>\n<\/ol>\n

          Verifica\u00e7\u00e3o P\u00f3s-Patch<\/h3>\n

          Ap\u00f3s aplicar o patch, realize as seguintes verifica\u00e7\u00f5es para garantir que a mitiga\u00e7\u00e3o foi eficaz:<\/p>\n