CISA将Oracle 漏洞添加到其已知被利用漏洞目录

美国网络安全与基础设施安全局（CISA）将编号为CVE-2026-35273（CVSS评分9.8）的Oracle PeopleSoft Enterprise PeopleTools漏洞添加到其已知被利用漏洞（KEV）目录中。

Oracle PeopleSoft Enterprise PeopleTools 是用于构建、运行、管理和定制 Oracle PeopleSoft 应用的底层技术平台。

CVE-2026-35273 漏洞是 Oracle PeopleSoft 环境管理组件中的一个远程代码执行漏洞。无需身份验证。无需用户操作。只需通过网络访问环境管理中心端点，就能接管服务器。

Mandiant和谷歌威胁情报组发布了一份关于6月11日活跃ShinyHunters活动的分析，就在甲骨文终于发布该漏洞被利用漏洞的警告的第二天。

这个间隔很重要：活动从5月27日持续到6月9日，这意味着在这两周内遇到的每个组织都面临0day漏洞、一个没有可用补丁且没有官方厂商警告的漏洞。Mandiant通知的100多个组织中，68%是大学和学院，大多数位于美国。

“Mandiant和谷歌威胁情报组（GTIG）发现，针对Oracle PeopleSoft应用基础设施的UNC6240（ShinyHunters）正在进行积极的攻破和勒索活动。谷歌发布的报告中指出，该活动发生在2026年5月27日至6月9日期间，符合CVE-2026-35273——环境管理组件中的关键远程代码执行漏洞（CVSS 9.8）的利用情况。”

“利用该漏洞与环境管理中心（PSEMHUB）终端的目标定位直接一致。由于该活动早于甲骨文2026年6月10日发布的通告，该漏洞被用作0day漏洞利用。”

PeopleTools 8.61 和 8.62 版本已被确认受影响;甲骨文表示，早期未受支持的版本也可能存在漏洞。

袭击者暴露了他们的集结设施，Mandiant因此得以详细了解行动。研究人员@nahamike01公开标记了五个连续IP地址的开放目录，这些地址均运行Python内置的HTTP服务器，端口为8888。Mandiant对这五个IP进行分析，发现一个共享文件，所有宿主都一模一样，详细列出了整个行动的时间戳。

报告中写道：“该临时架构托管了预配置的Windows MeshCentral代理二进制文件，伪装成Microsoft Azure服务，具体名称为meshagent32-azure-ops.exe、meshagent64-azure-ops.exe和meshagent64-v2.exe。”

“静态分析显示这些特工被硬编码以建立与指挥控制（C2）服务器
wss://azurenetfiles.net:443/agent.ashx 通信。”

该域名被选为类似 Microsoft Azure NetApp 文件的样式。MeshCentral是合法的开源远程管理软件，这意味着流量会融入正常的管理活动，不会触发明显的警报。

命令历史讲述了完整的操作故事。

5月27日22：14 UTC，攻击者安装了MeshCentral 1.1.59版本。11分钟后，他们安装了自动化“Let's Encrypt SSL证书配置”，为其C2提供了有效证书。随后，他们使用MeshCentral的CLI工具对被攻破的终端运行命令：映射Oracle PeopleSoft配置、读取进程调度器配置文件、解析内部主机表，以及检查WebLogic XML配置以识别每个受害网络内的其他目标。

攻击者通过名为[victim_abbreviation]
_fanout.sh/tmp/etc/hostsREADME-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT的脚本进行横向移动，该脚本直接在被攻破的主机上写入，并通过 MeshCentral 远程执行。该脚本解析 PeopleSoft 内部节点的主机名，然后通过 SSH 向每个节点发送硬编码的用户名和密码列表。

成功登录后，它会将一个名为 的文件复制到 WebLogic 和进程调度器的目录中，既作为敲诈标记，也作为传播确认，方便操作员远程验证。

泄露以压缩文件方式外泄，随后通过SSH连接，连接到托管ShinyHunters数据泄露网站公共镜像的IP的IP上。

诺丁汉大学是最早确认的受害者之一。Have I Been Pwned 已从泄露数据中索引了约455,000个独立电子邮件地址，涵盖在校学生和校友，包括姓名、地址、电话号码、护照号码以及种族和残疾记录。

ShinyHunters 表示，受害者的外展工作刚刚开始，大多数被入侵的组织尚未公布。

对于目前运行Oracle PeopleSoft的任何组织来说，首要任务是隔离。甲骨文的建议是，在多服务器设置中完全禁用环境管理中心服务/PSEMHUB/*
/PSIGW/HttpListeningConnector，或在单服务器设置中移除PSEMHUB应用。如果两者都无法实现，则在边界处屏蔽外部访问。

CISA命令联邦机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录漏洞的攻击。

专家还建议私营组织审查目录，解决其基础设施中的漏洞。

技术报告：

《ShinyHunters 利用 Oracle PeopleSoft 漏洞针对教育领域》

https://cloud.google.com/blog/topics/threat-intelligence/shinyhunters-targets-education-sector-oracle-exploit/