CVE-2026-35273与CVE-2026-50751:CISA紧急预警——Oracle/Check Point两大漏洞已被勒索软件利用
美国网络安全和基础设施安全局(CISA)于2026年6月连续将两个严重漏洞纳入已知被利用漏洞(KEV)目录:Oracle PeopleSoft的CVE-2026-35273(缺少关键功能认证)和Check Point Security Gateway的CVE-2026-50751(认证绕过)。两个漏洞均已确认被勒索软件团伙在实际攻击中利用。
CISA KEV目录:为什么这很重要
CISA的已知被利用漏洞(Known Exploited Vulnerabilities, KEV)目录是全球最权威的漏洞威胁情报源之一。与NVD等漏洞数据库不同,KEV只收录已在实际攻击中被利用的漏洞,而非理论风险。
根据BOD 22-01指令,美国联邦机构必须在规定时间内修复KEV目录中的漏洞。私营企业也强烈建议参照执行,因为KEV漏洞意味着攻击者已经掌握了利用方法并正在活跃使用。
| 属性 | CVE-2026-35273 | CVE-2026-50751 |
|---|---|---|
| 产品 | Oracle PeopleSoft PeopleTools | Check Point Security Gateway |
| 漏洞类型 | 缺少关键功能认证 | 认证绕过 |
| 纳入KEV日期 | 2026-06-12 | 2026-06-08 |
| 勒索软件利用 | 已确认 | 已确认 |
| 缓解截止日期 | 2026-07-03 | 2026-06-29 |
| 影响范围 | 企业HR/财务系统 | 企业网络安全边界 |
| CVSS评分 | 待确认 | 待确认 |
CVE-2026-35273:Oracle PeopleSoft认证缺失
Oracle PeopleSoft PeopleTools是PeopleSoft应用的技术基础层,支撑着全球大量企业的人力资源管理(HCM)、财务管理(FSCM)和校园管理(Campus Solutions)系统。
CVE-2026-35273的核心问题是PeopleTools的某些关键功能缺少认证机制。攻击者可以在无需登录的情况下,直接访问本应受保护的管理功能。根据Oracle的安全公告,该漏洞影响PeopleTools的Web服务接口。
攻击场景:
攻击流程:
1. 攻击者扫描暴露在公网的PeopleSoft实例
2. 直接访问缺少认证的Web服务端点
3. 利用未认证接口读取/修改敏感HR和财务数据
4. 部署勒索软件加密数据库
5. 勒索赎金(通常以数据泄露为威胁)
受影响版本:
| PeopleTools版本 | 状态 | 修复版本 |
|---|---|---|
| 8.59.x | 受影响 | 8.59.21 |
| 8.60.x | 受影响 | 8.60.10 |
| 8.61.x | 受影响 | 8.61.03 |
紧急修复:
# 1. 立即检查PeopleSoft暴露情况
# 从外部扫描PeopleSoft默认端口
nmap -p 8000,8001,8443 target_ip
# 2. 检查Web服务认证配置
# 登录PeopleSoft管理控制台
# 导航: PeopleTools > Web Profile > Web Profile Configuration
# 确认所有管理端点均启用认证
# 3. 临时缓解:通过Web应用防火墙(WAF)限制访问
# 在WAF中添加规则,拦截未认证的管理端点请求
Oracle已发布关键补丁更新(CPU),强烈建议在缓解截止日期2026年7月3日前完成修复。
CVE-2026-50751:Check Point Security Gateway认证绕过
Check Point Security Gateway是全球企业网络边界防护的核心组件,部署在企业防火墙、VPN网关和入侵防御系统中。CVE-2026-50751是一个认证绕过漏洞,攻击者可以绕过Gateway的认证机制,获得未授权访问权限。
该漏洞的危险之处在于:Security Gateway通常处于企业网络的最外层,一旦被攻破,攻击者可以直接访问企业内网的所有资源。
攻击影响评估:
| 影响维度 | 严重程度 | 说明 |
|---|---|---|
| 网络边界 | 致命 | 防火墙被绕过等于没有防火墙 |
| VPN接入 | 严重 | 攻击者可获取VPN隧道访问权 |
| 内网横向移动 | 高 | 从Gateway可直接访问后端服务 |
| 日志篡改 | 高 | 攻击者可清除入侵痕迹 |
| 勒索软件部署 | 高 | Gateway控制权可批量推送恶意软件 |
受影响产品与修复版本:
# 检查Check Point Gateway版本
clish -c "show version all"
# 或通过Web UI查看
# https://gateway_ip:4434
# 修复版本
# R81.20 Take 146 或更高
# R82 Take 14 或更高
紧急缓解措施:
# 1. 启用所有管理接口的双因素认证
# 2. 限制管理接口仅允许内网IP访问
# 3. 启用IPS签名更新
# SmartConsole > Security Policies > IPS > Update
# 4. 监控异常登录尝试
tail -f /var/log/ftw_activelog/auth.elg | grep -i fail
勒索软件攻击链分析
两个漏洞被勒索软件团伙利用,说明攻击者正在将漏洞利用整合到自动化攻击链中。典型的攻击链如下:
阶段1: 侦察
├── 扫描公网暴露的PeopleSoft/Check Point实例
├── 收集版本信息和配置细节
└── 确定目标价值(企业规模、行业)
阶段2: 初始访问
├── 利用CVE-2026-35273未认证访问PeopleSoft
├── 或利用CVE-2026-50751绕过Check Point认证
└── 建立持久化后门
阶段3: 横向移动
├── 从PeopleSoft/Check Point获取内网凭据
├── 扫描内网高价值目标(域控、数据库、文件服务器)
└── 提权到域管理员
阶段4: 数据窃取
├── 导出敏感数据(HR记录、财务数据、客户信息)
├── 上传到攻击者控制的外部存储
└── 为勒索谈判准备筹码
阶段5: 勒索部署
├── 部署勒索软件加密关键系统
├── 向受害者发送勒索通知
└── 在暗网泄露站点发布部分数据作为威胁
企业紧急响应检查清单
| 优先级 | 行动项 | 截止时间 |
|---|---|---|
| P0 | 检查是否使用Oracle PeopleSoft或Check Point Gateway | 立即 |
| P0 | 确认产品版本是否在受影响范围内 | 立即 |
| P0 | 评估系统是否暴露在公网 | 24小时内 |
| P1 | 应用安全补丁或升级到修复版本 | 7天内 |
| P1 | 启用多因素认证 | 7天内 |
| P1 | 检查系统日志是否有异常访问记录 | 7天内 |
| P2 | 网络分段隔离受影响系统 | 14天内 |
| P2 | 威胁狩猎(Threat Hunting)排查潜在入侵 | 14天内 |
2026年勒索软件态势数据
| 指标 | 数值 | 来源 |
|---|---|---|
| 平均勒索攻击成本 | 575万美元 | IncidentCost.com |
| 平均停机时间 | 24天 | Sophos |
| 数据泄露占比 | 78%的勒索事件 | Verizon DBIR |
| 支付赎金比例 | 46% | Coveware |
| CISA KEV新增漏洞(2026) | 80+ | CISA |
勒索软件团伙正越来越多地利用刚披露的漏洞(N-day)而非零日漏洞,因为许多企业的补丁管理周期长达30-90天,给了攻击者充足的窗口期。
数据来源与参考文献
- CISA. "Known Exploited Vulnerabilities Catalog." cisa.gov, June 2026.
- Oracle. "Critical Patch Update Advisory - June 2026." oracle.com, 2026.
- Check Point. "Security Advisory: CVE-2026-50751." checkpoint.com, 2026.
- IncidentCost.com. "Ransomware Cost 2026." incidentcost.com, 2026.
- Verizon. "2026 Data Breach Investigations Report." verizon.com, 2026.
更新时间: 2026-06-13 作者: 安全情报分析团队
评论