Notfall-Patch für schwerwiegende Schwachstelle – Hacker hatten bereits über 100 Organisationen angegriffen.
Oracle hat am Freitag einen außerplanmäßigen Sicherheitspatch für eine kritische Schwachstelle in seiner PeopleSoft Enterprise PeopleTools-Software veröffentlicht. Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hatte die Lücke zuvor in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen. Grund dafür waren Erkenntnisse, dass die Hackergruppe ShinyHunters den Fehler in einer Serie von Zero-Day-Angriffen ausgenutzt hatte.
Kritische Schwachstelle mit Höchstwertung
Anzeige: Die Oracle-Lücke CVE-2026-35273 mit CVSS 9,8 wird bereits aktiv ausgebeutet – über 100 Organisationen sind kompromittiert. Bevor Ihre Systeme als Nächstes dran sind: Dieser Report liefert die konkrete Sofortmaßnahmen-Checkliste und den Patch-Management-Guide. Jetzt kostenlosen Sicherheits-Report anfordern
Bei der Sicherheitslücke CVE-2026-35273 handelt es sich um einen Fehler mit einem CVSS-Score von 9,8 – die zweithöchste Risikostufe. Die Schwachstelle im Environment Management Component der PeopleTools-Versionen 8.61 und 8.62 ermöglicht Angreifern die Code-Ausführung aus der Ferne (Remote Code Execution, RCE). Besonders brisant: Für den Angriff ist keine Authentifizierung erforderlich.
Sicherheitsforscher von Mandiant und Google Threat Intelligence beobachteten zwischen dem 27. Mai und dem 9. Juni 2026 aktive Ausnutzung der Lücke. In diesem Zeitraum wurden über 100 Organisationen über mögliche Kompromittierungen informiert. Branchenanalysten zufolge waren rund 68 Prozent der betroffenen Einrichtungen im Hochschulsektor angesiedelt.
Die University of Nottingham gilt als bestätigtes Opfer der Angriffswelle. Berichten zufolge erbeuteten die Angreifer rund 40 Gigabyte Daten, darunter etwa 450.000 Datensätze mit Studenteninformationen und E-Mail-Adressen.
Die Hacker nutzten demnach MeshCentral-Agenten, die als legitime Cloud-Endpunkte – etwa von Azure-Diensten – getarnt waren. So verschafften sie sich dauerhaften Zugang und bewegten sich lateral innerhalb der betroffenen Netzwerke.
Oracle veröffentlichte den Notfall-Patch am 12. Juni. CISA hat alle Bundesbehörden angewiesen, die Schwachstelle bis zum 15. Juni zu schließen.
Drei-Tage-Frist für Ivanti-Sicherheitslücke
In einer separaten Maßnahme erließ CISA am 11. Juni die erste Drei-Tage-Patch-Verpflichtung unter der neuen Richtlinie BOD 26-04. Betroffen ist eine kritische OS-Command-Injection-Schwachstelle in Ivanti Sentry, die als CVE-2026-10520 mit dem maximalen CVSS-Score von 10,0 geführt wird.
Ivanti hatte die Patches bereits am 9. Juni bereitgestellt. Aktive Ausnutzung wurde jedoch ab dem 10. Juni festgestellt. Forscher von Shadowserver bestätigten kurz darauf kompromittierte Systeme. Aufgrund der Schwere des Fehlers müssen Bundesbehörden ihre Systeme bis zum 14. Juni absichern.
CISA erweiterte seinen KEV-Katalog am 12. Juni zudem um drei weitere aktiv ausgenutzte Schwachstellen:
- CVE-2026-20245: Eine RCE-Lücke im Cisco Catalyst SD-WAN Manager
- CVE-2026-11645: Eine Schwachstelle in der Google Chrome V8-Engine
- CVE-2026-7473: Ein Fehler in der Datenverarbeitung von Arista EOS
Für die Arista-Schwachstelle liegt derzeit kein Patch vor. Der Hersteller empfiehlt konfigurationsbasierte Gegenmaßnahmen. Bundesbehörden haben bis zum 23. Juni Zeit, diese drei Bedrohungen zu adressieren.
Microsofts größtes Update-Paket des Jahres
Microsoft veröffentlichte im Rahmen seines regulären Juni-Updates insgesamt 206 Sicherheitskorrekturen – ein außergewöhnlich hoher Wert. Darunter befanden sich drei öffentlich bekannte Windows-Schwachstellen (CVE-2026-45586, CVE-2026-49160 und CVE-2026-50507). Microsoft gab jedoch an, dass diese zum Zeitpunkt der Veröffentlichung nicht aktiv ausgenutzt wurden.
Der Juni-Update-Zyklus behob zudem ein langjähriges Problem mit dem WUSA-Installer. Seit Mai 2025 hatten Nutzer von Windows 11 und Windows Server 2025 Fehlermeldungen erhalten, wenn sie Updates von Netzwerkfreigaben installieren wollten. Die Korrektur wurde in die kumulativen Updates vom 12. Juni integriert.
Microsoft wies Administratoren außerdem auf mehrere bevorstehende Support-Enden hin: Der Support für SharePoint Server 2016 und 2019 endet am 14. Juli 2026. Zudem läuft die UEFI-Zertifizierungsstelle für Bootloader am 27. Juni 2026 ab.
Anzeige: ShinyHunters nutzen MeshCentral-Agenten getarnt als Azure-Cloud-Endpunkte – ohne Authentifizierung. Wer seine PeopleTools-Umgebung nicht innerhalb von Tagen patcht, riskiert Datenabfluss wie die University of Nottingham. Der Report zeigt, wie Sie laterale Bewegung erkennen und stoppen. Zero-Day-Abwehr-Guide jetzt sichern
SAP-Sicherheitsrisiken in hybriden Cloud-Umgebungen
Eine aktuelle Analyse von Onapsis zeigt Sicherheitsrisiken in der SAP Business Technology Platform (BTP) und ABAP-Umgebungen auf. Forscher identifizierten zwei Hauptangriffsvektoren: Ein externer Angreifer könnte eine Kombination aus Cross-Site-Scripting (XSS) und OS-Command-Injection in einer BTP-Anwendung nutzen, um von Cloud-Umgebungen in lokale S/4HANA-Systeme zu gelangen.
Ein zweites Szenario betrifft interne Bedrohungen: Ein Entwickler könnte bestimmte Speicherpuffer manipulieren, um erweiterte Administratorrechte zu erlangen. Die Ergebnisse unterstreichen die zunehmende Komplexität der Sicherung von ERP-Systemen in hybriden Cloud-Architekturen – ein Thema, das auch für viele deutsche Unternehmen mit SAP-Landschaften von wachsender Bedeutung ist.
