CVE-2026-35273: O Zero-Day do PeopleSoft Que Tornou o Problema de ERP no Ensino Superior Impossível de Ignorar

Existe uma categoria de vulnerabilidade que as equipes de segurança mais temem: não aquela com o nome chamativo ou a cobertura da imprensa sensacionalista, mas a falha silenciosa de execução remota de código não autenticada, escondida em um componente que ninguém incluiu na lista de monitoramento. A CVE-2026-35273 é exatamente esse tipo de falha. Entre o final de maio e o início de junho de 2026, ela permitiu que invasores entrassem pela porta da frente de sistemas de RH de universidades, plataformas de folha de pagamento e portais de informações de estudantes sem sequer precisar adivinhar uma senha. A lição que ela ensina não é, primordialmente, sobre um grupo de agentes de ameaças ou sobre um número de vítimas. É sobre o ponto cego estrutural que torna a infraestrutura de ERP corporativo no ensino superior uma superfície de ataque consistentemente subestimada.

O Que é a CVE-2026-35273 de Fato (e Por Que uma Pontuação 9,8 Importa)

A CVE-2026-35273 é uma vulnerabilidade crítica de execução remota de código no Environment Management Hub do Oracle PeopleSoft, comumente chamado de PSEMHUB. De acordo com a Mandiant e o Google's Threat Intelligence Group (GTIG), a vulnerabilidade recebe uma pontuação CVSS de 9,8, o que a coloca no teto da escala de gravidade. O motivo técnico pelo qual a pontuação é tão alta é exatamente o que a torna instrutiva: um invasor não autenticado pode enviar uma requisição especialmente elaborada a um endpoint do PSEMHUB e obter execução completa de código no sistema subjacente sem nenhuma credencial. Sem phishing, sem token de sessão roubado, sem acesso interno necessário.

A Mandiant e o GTIG observaram atividade de exploração ativa ocorrendo entre 27 de maio e 9 de junho de 2026. A Oracle publicou seu comunicado de segurança em 10 de junho de 2026, de acordo com o mesmo relatório. Essa janela de treze dias em que a vulnerabilidade foi transformada em arma antes de qualquer aviso oficial ou patch existir é a definição formal de exploração de zero-day, e é o cenário que faz os programas de gerenciamento de vulnerabilidades justificarem seu orçamento. O principal insight defensivo aqui é o tempo: a lacuna entre a primeira exploração e a divulgação pelo fornecedor é onde as organizações que dependem exclusivamente de remediação reativa no estilo Patch Tuesday ficam mais expostas.

O PSEMHUB é um componente administrativo do PeopleSoft, uma plataforma amplamente utilizada no ensino superior para RH, folha de pagamento e gerenciamento de informações de estudantes. Frequentemente, ele é acessível pela internet e, como essa campanha demonstrou, muitas vezes é pouco monitorado em relação aos seus privilégios de acesso. Uma pontuação CVSS de 9,8 em uma infraestrutura que os administradores tratam como encanamento de fundo é precisamente o tipo de avaliação de risco descalibrada que as cadeias de ataque são construídas para explorar.

A Cadeia de Ataque: Como o PSEMHUB Se Tornou uma Porta de Entrada

Entender a mecânica de como os invasores passaram do acesso inicial ao controle persistente é a parte mais educativa desse incidente. De acordo com a Mandiant e o GTIG, a exploração de endpoints PSEMHUB foi o vetor de acesso inicial, consistente com a CVE-2026-35273. Uma vez dentro, os ambientes de preparação dos invasores hospedavam agentes MeshCentral personalizados que eram disfarçados como endpoints de nuvem legítimos. O MeshCentral é uma ferramenta real e legítima de gerenciamento remoto; reutilizá-la como disfarce para acesso persistente é uma técnica que pesquisadores de segurança chamam de living-off-the-land, e vale a pena entendê-la porque ela anula uma classe significativa de regras de detecção que buscam ferramentas obviamente maliciosas, em vez de software legítimo sendo abusado.

A campanha resultou em roubo de dados generalizado e extorsão, com vazamentos públicos de dados em seguida, de acordo com a Rescana. O relatório da Mandiant e do GTIG observou que mais de 100 organizações globais receberam notificações de que seus endereços IP correlacionavam com endpoints potencialmente vulneráveis. Dessas, 68% operavam no setor de ensino superior, e a maioria estava sediada nos Estados Unidos. Essa concentração não é coincidência. Instituições de ensino superior normalmente utilizam o PeopleSoft para registros de estudantes, auxílio financeiro e RH; frequentemente operam com equipes de segurança mais enxutas em relação ao seu volume de dados; e seus sistemas costumam ter obrigações de conformidade relacionadas a dados de estudantes que tornam as violações operacional e juridicamente custosas.

Por Que os Sistemas ERP São a Superfície de Ataque Subestimada

A lição mais duradoura da CVE-2026-35273 é estrutural. Plataformas de ERP corporativo como o PeopleSoft não são vistas como perímetros de segurança pela maioria das pessoas que as gerenciam. Elas são vistas como sistemas de negócios: aquilo que processa a folha de pagamento, rastreia matrículas, gera relatórios de conformidade. Esse modelo mental cria uma lacuna entre o perfil de exposição real da plataforma e a atenção que ela recebe das operações de segurança.

De acordo com a Rescana, a campanha demonstra a crescente sofisticação dos agentes de ameaças em explorar vulnerabilidades de zero-day contra aplicações corporativas críticas e destaca a necessidade urgente de capacidades de gerenciamento de vulnerabilidades e resposta a incidentes. Esse enquadramento está correto, mas a tradução prática para os defensores é mais específica: endpoints PSEMHUB não devem ser acessíveis pela internet sem controles compensatórios, componentes administrativos de plataformas ERP merecem a mesma disciplina de segmentação de rede que qualquer outro sistema de alto privilégio, e o monitoramento do uso anômalo de ferramentas legítimas de gerenciamento remoto é um investimento em detecção com retornos amplos em muitos padrões de ataque, não apenas neste.

Para equipes de segurança e estudantes que aprendem operações defensivas, esse incidente é um estudo de caso útil sobre como cadeias de ataque são construídas a partir de componentes subvalorizados. A vulnerabilidade em si era nova e desconhecida. As ferramentas usadas para persistência eram legítimas. A seleção de alvos era lógica, dado o valor dos dados e as restrições de recursos. Nenhum desses três elementos exigia sofisticação extraordinária individualmente; juntos, somaram-se a uma campanha que atingiu mais de 100 organizações antes de um patch existir.

O Que Isso Significa para Defensores e Aprendizes

O comunicado da Oracle de 10 de junho de 2026 deve ser o ponto de partida, não o ponto de chegada, para qualquer instituição que execute o PeopleSoft. Aplicar o patch disponível é a ação imediata e inegociável. Mas o aprendizado mais amplo é sobre postura: quais componentes administrativos no seu ambiente são acessíveis pela internet e pouco monitorados, quais ferramentas legítimas no seu stack poderiam ser reutilizadas para persistência, e com que rapidez seu pipeline de detecção sinalizaria acesso não autenticado a um endpoint de alto privilégio.

Para estudantes e profissionais que desenvolvem habilidades em gerenciamento de vulnerabilidades, a CVE-2026-35273 é um exemplo claro de por que as pontuações CVSS sozinhas não capturam o risco. Uma pontuação 9,8 em um componente que ninguém monitora é mais perigosa na prática do que uma pontuação 9,8 em um componente cercado de controles compensatórios. O risco é sempre contextual. As instituições que saem de incidentes como esse com menos danos são aquelas que tratam interfaces administrativas de ERP com o mesmo ceticismo que aplicam a aplicações web voltadas ao público. Esse não é um princípio complexo. É apenas um princípio subestimado, e essa campanha é o custo de subestimá-lo.

Fique atento às orientações de patches adicionais da Oracle e à documentação atualizada de hardening do PSEMHUB à medida que a análise do incidente amadurece. O Security Week e o relatório da Mandiant e do GTIG são as fontes primárias a acompanhar para atualizações técnicas. Se sua instituição ou organização executa o PeopleSoft, este é o momento de auditar a exposição, verificar o status do patch e revisar o que seu monitoramento cobre na camada administrativa do seu stack de ERP.