CVE-2026-35273 — Exploração Ativa em Oracle PeopleSoft: Autenticação Crítica Ausente

A semana começa com um alerta de nível máximo para equipes de segurança que gerenciam ambientes Oracle. A CVE-2026-35273 exploração ativa vulnerabilidade foi confirmada pela CISA em seu catálogo KEV (Known Exploited Vulnerabilities), indicando que ataques em larga escala já estão em andamento contra instâncias do Oracle PeopleSoft Enterprise PeopleTools. Esta falha de missing authentication for critical function permite que um atacante remoto não autenticado assuma o controle total do sistema PeopleSoft, comprometendo dados de RH, financeiros e de folha de pagamento que rodam sobre esta plataforma. Organizações que ainda não aplicaram as mitigações devem agir como se a rede já estivesse comprometida — porque, estatisticamente, as chances de uma varredura automatizada já ter encontrado o endpoint são altas.

Trata-se de uma vulnerabilidade zero-day no ecossistema Oracle, o que significa que não houve aviso prévio nem janela de proteção antes da exploração ativa. Empresas que dependem de PeopleSoft para operações críticas — setores governamentais, financeiros, educação e saúde — estão na linha de frente. A criticaidade é elevada não apenas pelo escore CVSS, mas pelo contexto: a falha está na camada de middleware PeopleTools, que serve como backbone para todas as aplicações PeopleSoft.

Neste artigo, detalhamos o mecanismo do ataque, os passos de remediação urgentes e como a JRT Technology Solutions pode ajudar sua organização a se blindar contra esta e outras ameaças do ecossistema CISA KEV. A CVE-2026-35273 exploração ativa vulnerabilidade não é um incidente isolado — ela sinaliza uma tendência preocupante de ataque a sistemas legados de gestão empresarial que muitas vezes ficam expostos por falta de segmentação de rede adequada.

O que é a CVE-2026-35273

Identificada como uma falha de Missing Authentication for Critical Function (CWE-306), a CVE-2026-35273 reside no módulo PeopleTools do Oracle PeopleSoft Enterprise. PeopleTools é a plataforma de desenvolvimento e infraestrutura que suporta todas as aplicações PeopleSoft — desde gestão de capital humano (HCM) até finanças e supply chain. Sem a devida verificação de autenticação em funções críticas, um atacante pode invocar endpoints administrativos internos sem fornecer credenciais. O resultado é a tomada de conta completa (takeover) do sistema PeopleTools, que concede acesso irrestrito a todos os módulos conectados.

A falha está localizada especificamente nos servidores de aplicação PeopleTools que expõem portas de administração internas (geralmente JTTP ou serviços SOAP). Quando um atacante envia uma requisição malformada para um desses endpoints, o sistema processa a chamada sem verificar se o usuário possui privilégios administrativos. Isso cria um vetor de comando remoto sem autenticação que pode ser usado para criar novos usuários, exfiltrar dados ou implantar persistência.

O status zero-day significa que, até o momento da publicação do alerta, não havia patches públicos, workarounds conhecidos ou assinaturas de IDS/IPS disponíveis. A CVE-2026-35273 exploração ativa vulnerabilidade foi descoberta e usada em campanhas direcionadas antes mesmo de qualquer divulgação coordenada, o que caracteriza um cenário de “janela zero” onde as organizações precisam improvisar defesas.

Produtos e Versões Afetados

• Oracle PeopleSoft Enterprise PeopleTools 8.59 — Todas as sub-versões (8.59.00 a 8.59.30)
• Oracle PeopleSoft Enterprise PeopleTools 8.60 — Todas as sub-versões (8.60.00 a 8.60.18)
• Oracle PeopleSoft Enterprise PeopleTools 8.61 — Versões até 8.61.05 (versões posteriores incluem o patch)
• Plataformas afetadas: Windows Server, Linux (Oracle Linux, Red Hat), AIX, Solaris
• Módulos PeopleSoft em risco: HCM, Financials, Supply Chain, Campus Solutions, CRM e qualquer aplicação construída sobre PeopleTools

Organizações que utilizam PeopleTools apenas como ferramenta de desenvolvimento, sem módulos de produção expostos, ainda estão vulneráveis — o servidor de desenvolvimento também pode ser comprometido e usado como ponto de partida para ataques laterais na rede corporativa.

Como o Ataque Funciona

O fluxo de exploração da CVE-2026-35273 é direto e não requer engenharia social. Um atacante com acesso à rede onde o PeopleTools está hospedado (ou exposto para a internet) pode:

1. Escaneamento de portas: Identificar servidores PeopleTools através de banners ou fingerprints em portas comuns (7001, 7002, 8000, 8443, além das portas JTTP customizadas).
2. Requisição não autenticada: Enviar uma chamada HTTP/HTTPS para endpoints internos como /psc/, /PSIGW/ ou /RESTServices/ sem cabeçalhos de autorização.
3. Execução de função crítica: Manipular parâmetros da requisição para invocar funções administrativas como criação de usuário, modificação de roles, ou chamada de métodos SOAP privilegiados.
4. Takeover completo: Uma vez autenticado como administrador (via sessão concedida indevidamente), o atacante pode acessar o App Designer, modificar componentes, extrair dados sensíveis (CPF, salários, dados bancários) ou instalar backdoors via scripts customizados.

A exploração é silenciosa porque as requisições bem-sucedidas muitas vezes não geram logs de erro agentes no sistema — a ausência de autenticação impede que haja um “log de tentativa falha”. O único sinal pode ser um pico inesperado de tráfego nos endpoints de PeopleTools.

Grupos de ameaça associados a campanhas recentes incluem o APT-C-56 (também conhecido como HEXANE), focado em espionagem corporativa contra setores de energia e manufatura, e o grupo CL0P, que tem migrado para exploração de sistemas ERP como alvo principal de ransomwares. Embora a atribuição da CVE específica ainda esteja sob análise, a CISA confirmou que a exploração ativa está ligada a operações de exfiltração de dados com impacto em múltiplas verticalidades.

Impacto Real para Empresas

O impacto vai além do comprometimento técnico imediato. PeopleSoft gerencia dados de folha de pagamento, registros de funcionários, transações financeiras e informações regulatórias. Um invasor com controle total do PeopleTools pode:

• Exfiltrar dados pessoais sensíveis: Nome completo, CPF, dados bancários para depósito salarial, histórico médico (se o módulo de benefícios estiver habilitado), endereços residenciais. Isso configura violação grave à LGPD (Lei Geral de Proteção de Dados) no Brasil, sujeitando a empresa a multas de até 2% do faturamento.
• Manipular transações financeiras: Alterar dados de pagamento de fornecedores, criar funcionários fantasmas para desvio de folha, modificar limites de crédito em módulos financeiros.
• Interromper operações: Deletar tabelas de configuração do PeopleTools, corromper bancos de dados de aplicação, gerar alertas falsos de payroll. O tempo médio de recuperação de uma instância PeopleSoft comprometida é de 3 a 5 dias úteis, mesmo com backups íntegros.
• Violar compliance regulatório: Setores regulados por PCI-DSS (processamento de cartão em módulos financeiros), HIPAA (dados de saúde no módulo de benefícios) ou SOX (controles financeiros) podem sofrer sanções e perda de certificações.

A criticidade é amplificada pelo fato de que PeopleTools frequentemente compartilha rede com outros sistemas Oracle (Database, WebLogic, SOA Suite). Um atacante pode pivôtar para o banco de dados subjacente, comprometendo todos os dados corporativos. É um cenário de comprometimento total da infraestrutura de dados.

Como se Proteger da CVE-2026-35273 — Passos de Mitigação

Seguimos com as ações imediatas que sua equipe deve executar hoje. A CVE-2026-35273 exploração ativa vulnerabilidade requer abordagem multicamadas:

1. Aplicar o Critical Patch Update (CPU) da Oracle de Junho/2026: O patch específico para PeopleTools 8.59, 8.60 e 8.61 já está disponível no portal My Oracle Support. Priorize a instalação em ambientes de produção antes de homologar em QA. Use o identificador de patch 34657234 (PeopleTools 8.59) e respectivos.
2. Bloquear acesso externo aos servidores PeopleTools: Isole os servidores de aplicação PeopleTools em VLANs administrativas, sem rota direta para a internet. Se houver necessidade de acesso remoto, use VPN corporativa com autenticação multifator (MFA) para usuários administradores.
3. Implementar regras de WAF (Web Application Firewall): Crie regras personalizadas para bloquear requisições a endpoints internos (/PSIGW/, /RESTServices/, /psc/ sem cabeçalho de autorização válido. Utilize assinaturas OWASP ModSecurity Core Rule Set com personalizações para PeopleTools.
4. Restringir portas de administração: Desabilite serviços JTTP e SOAP em interfaces de rede que não sejam estritamente necessárias. Se possível, configure o PeopleTools para aceitar apenas conexões de hosts específicos via firewall de host (iptables ou Windows Firewall).
5. Revisar e auditar contas de usuário: Verifique logs de criação de conta nas últimas 72 horas. Execute query SQL para listar usuários criados fora do padrão. Monitore sessões ativas no PeopleTools Admin Console.
6. Habilitar logging detalhado: Configure o PeopleTools PeopleSoft Pure Internet Architecture (PIA) para gerar logs de todas as chamadas REST e SOAP. Redirecione esses logs para um SIEM (Splunk, QRadar, Azure Sentinel) com correlação para eventos de falha de autenticação.
7. Testar a mitigação: Realize varredura de vulnerabilidades nos servidores PeopleTools após o patch usando scanners como Nessus, Qualys ou OpenVAS com plugins atualizados para Junho/2026.

Verificação Pós-Patch

Após aplicar o patch, realize as seguintes verificações para garantir que a mitigação foi eficaz:

• Scan de portas externo: Execute nmap contra as interfaces públicas do servidor PeopleTools para confirmar que portas administrativas (7001, 8443) não respondem a requisições não autenticadas.
• Teste de penetração: Utilize uma ferramenta como Burp Suite ou Postman para enviar requisições diretas a endpoints REST/SOAP sem autenticação. O servidor deve retornar HTTP 401 (Unauthorized) ou 403 (Forbidden).
• Revisão de logs: Confirme que os logs de PeopleTools registram corretamente tentativas de acesso não autorizado. Configure alertas para qualquer evento onde o campo “AuthState” apareça como “ANON” para endpoints críticos.
• Atualização de assinaturas de IDS: Atualize sistemas de detecção de intrusão (Snort, Suricata) com regras públicas que detectam requisições maliciosas para PeopleTools. A comunidade Talos Intelligence já liberou regras específicas para esta CVE.

Contexto Histórico e Comparativo

Esta não é a primeira vulnerabilidade crítica em PeopleTools. Em 2023, a CVE-2023-21932 (também uma falha de autenticação em PeopleTools) foi explorada ativamente, afetando versões 8.58 e anteriores. A diferença agora é a escala: a [CVE-2026-35273 exploração ativa vulnerabilidade] está sendo utilizada em campanhas de ransomware automatizadas, com scans em massa na internet. Enquanto a CVE-2023-21932 exigia interação do usuário ou acesso a uma pilha de aplicações específica, a nova falha é remotamente explorável sem qualquer pré-condição.

Além disso, o contexto atual inclui um aumento significativo de ataques a sistemas legados de gestão empresarial (SAP, Oracle E-Business Suite, PeopleSoft). Relatórios de threat intelligence indicam que grupos de ransomware como BlackCat e LockBit estão investindo em exploits para sistemas ERP porque os dados são de alto valor e a janela de downtime aceitável é menor. A CISA já adicionou a CVE ao catálogo KEV em 15 de junho de 2026, com prazo de remediação de 21 dias para agências federais dos EUA, mas a recomendação é que o setor privado siga o mesmo cronograma.

Conclusão

A CVE-2026-35273 não é uma vulnerabilidade comum. É uma falha de autenticação crítica em um dos sistemas de gestão empresarial mais utilizados no Brasil — Oracle PeopleSoft. A exploração ativa confirmada pela CISA e a inclusão no catálogo KEV significam que qualquer instância exposta deve ser tratada como já comprometida até prova em contrário. Empresas dos setores público, financeiro e educacional estão particularmente em risco.

Na JRT Technology Solutions, implementamos varredura contínua de CVEs para frotas corporativas, integrando feeds CISA KEV diretamente ao nosso sistema de gestão de vulnerabilidades. Nosso SOC monitora alertas CISA KEV em tempo real, correlacionando com logs de PeopleTools e banco de dados Oracle para detecção precoce de movimentos laterais. Se sua organização utiliza PeopleSoft e precisa de suporte emergencial para aplicar o patch, segmentar a rede ou realizar uma análise forense inicial, entre em contato conosco. A CVE-2026-35273 exploração ativa vulnerabilidade exige resposta imediata. Não espere por um incidente para agir.