Oracle PeopleSoft零日漏洞CVE-2026-35273深度解析:ShinyHunters与Cl0p联手发动大规模数据窃取攻击
2026年6月12日,CISA紧急将CVE-2026-35273纳入已知被利用漏洞目录。这个CVSS 9.8分的Oracle PeopleSoft零日漏洞已被ShinyHunters和Cl0p两大勒索组织在野利用,全球高校和企业面临严重数据泄露风险。
漏洞概述:一个缺失认证导致的远程代码执行
CVE-2026-35273是Oracle PeopleSoft Enterprise PeopleTools组件中Updates Environment Management模块的一个缺失关键功能认证漏洞。受影响版本为PeopleTools 8.61和8.62,CVSS基础评分高达9.8(满分10分),属于最严重的安全漏洞等级。
该漏洞的核心问题在于PeopleSoft的环境管理Hub端点缺乏适当的认证机制。攻击者无需任何凭证即可通过SSRF(服务器端请求伪造)链最终实现远程代码执行。根据Rapid7的分析,攻击者可以构造特制的HTTP请求直接访问PeopleSoft的内部管理接口,进而执行任意系统命令。
Oracle在2026年6月发布了带外安全警报(out-of-band security alert),这在Oracle的漏洞披露历史中极为罕见,说明该漏洞的威胁程度已经超出了常规补丁周期的处理能力。
受影响产品和版本:
| 组件 | 受影响版本 | CVSS评分 | 漏洞类型 |
|---|---|---|---|
| PeopleSoft Enterprise PeopleTools | 8.61 | 9.8 | 缺失认证+SSRF+RCE |
| PeopleSoft Enterprise PeopleTools | 8.62 | 9.8 | 缺失认证+SSRF+RCE |
| PeopleSoft Human Capital Management | 依赖PeopleTools | 间接影响 | 数据泄露风险 |
| PeopleSoft Campus Solutions | 依赖PeopleTools | 间接影响 | 高校数据风险 |
攻击者画像:ShinyHunters与Cl0p的双重威胁
本次攻击活动由两个独立但同样危险的勒索组织同时发起。ShinyHunters是一个以数据窃取和勒索闻名的威胁组织,此前曾攻击过Tokopedia、Wattpad、Microsoft GitHub私有仓库等高价值目标。根据Hive Security的追踪报告,ShinyHunters至少在Oracle发布补丁前两周就已开始利用该漏洞,主要针对美国高校的PeopleSoft Campus Solutions系统。
Cl0p勒索组织则更加危险。该组织此前因利用MOVEit Transfer、Accellion FTA和SolarWinds等零日漏洞进行大规模供应链攻击而臭名昭著。根据Rescana的威胁情报,Cl0p也在利用CVE-2026-35273进行独立的数据窃取活动,这意味着全球PeopleSoft实例面临来自两个不同攻击者的双重威胁。
Arctic Wolf的安全研究人员观察到,ShinyHunters的攻击模式呈现明显的"先窃取后勒索"特征:攻击者首先利用漏洞获取PeopleSoft数据库的完全访问权限,批量导出包含学生个人信息、教职工薪资数据、社会安全号码等敏感信息,然后通过暗网论坛或直接联系受害者进行勒索。
技术深度分析:SSRF到RCE的攻击链
CVE-2026-35273的攻击链可以分解为三个关键阶段:
第一阶段:初始访问(SSRF)
攻击者通过向PeopleSoft Environment Management Hub的特定端点发送精心构造的HTTP请求,利用缺失认证的缺陷访问内部服务。该端点原本用于PeopleSoft系统组件之间的通信和配置管理,但缺乏对外部请求的身份验证。
# 概念性攻击路径(仅供防御参考)
POST /psigw/HttpListeningConnector HTTP/1.1
Host: target-peoplesoft.edu
Content-Type: application/x-www-form-urlencoded
# 攻击者通过操纵请求参数触发SSRF
# 将内部请求重定向到PeopleSoft管理端点
第二阶段:权限提升(内部服务访问)
通过SSRF漏洞,攻击者可以绕过网络隔离访问PeopleSoft内部的管理API。这些API通常只对localhost或受信任的内部网络开放,但由于SSRF请求来自服务器本身,所有IP级别的访问控制都会被绕过。
第三阶段:远程代码执行
获得内部管理接口访问权限后,攻击者利用Environment Management Hub的配置更新功能执行任意命令。
# 检测命令:检查PeopleSoft服务器是否存在异常进程
ps aux | grep -E "(java|weblogic|peoplesoft)" | grep -v grep
# 检查可疑的网络连接
netstat -tlnp | grep -E ":(80|443|8080|9090)"
# 查看WebLogic服务器日志中的异常访问
grep -i "environment.management" $DOMAIN_HOME/servers/*/logs/*.log | tail -50
全球影响范围:高校和企业面临的数据泄露危机
PeopleSoft是全球使用最广泛的企业资源规划(ERP)系统之一,尤其在高等教育领域占据主导地位。美国绝大多数大型公立大学使用PeopleSoft Campus Solutions管理学生信息系统。
受影响的数据类型极为敏感,包括:
| 数据类别 | 敏感程度 | 潜在影响 |
|---|---|---|
| 社会安全号码(SSN) | 极高 | 身份盗窃、金融欺诈 |
| 学生个人信息 | 高 | 钓鱼攻击、社会工程 |
| 教职工薪资数据 | 高 | 内部威胁、勒索 |
| 财务援助记录 | 高 | 金融欺诈 |
| 健康保险信息 | 高 | 医疗身份盗窃 |
检测与应急响应指南
对于运行PeopleSoft的组织,以下是紧急检测和响应步骤:
# 1. 检查是否已安装Oracle紧急补丁
cd $ORACLE_HOME
opatch lsinventory | grep -i "peoplesoft"
# 2. 检查WebLogic访问日志中的可疑请求模式
grep -E "psigw|HttpListening|Environment" $DOMAIN_HOME/servers/*/logs/access.log | \\
awk '{print $1, $7}' | sort | uniq -c | sort -rn | head -20
# 3. 检查异常的出站连接
ss -tlnp | grep java
lsof -i -P -n | grep -E "(java|weblogic)" | grep -v "127.0.0.1"
# 4. 检查文件系统完整性
find $ORACLE_HOME -name "*.jsp" -newer $ORACLE_HOME/inventory -ls
紧急缓解措施:
如果无法立即应用补丁,建议采取以下临时缓解措施:
- 限制Environment Management Hub的网络访问 — 通过WebLogic的网络过滤或外部防火墙规则,仅允许受信任的管理IP访问相关端点
- 禁用不必要的管理接口 — 如果Environment Management Hub功能未被使用,可以通过WebLogic控制台禁用相关部署
- 增强日志监控 — 对所有PeopleSoft HTTP端点的访问日志实施实时监控和告警
# 临时缓解:通过iptables限制管理端口访问
iptables -A INPUT -p tcp --dport 8080 -s 受信任管理IP -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j DROP
修复方案与补丁部署
Oracle已通过带外安全警报发布了CVE-2026-35273的官方补丁。修复方案如下:
| 修复步骤 | 操作 | 预计停机时间 |
|---|---|---|
| 1. 下载补丁 | 从My Oracle Support下载最新PeopleTools补丁 | - |
| 2. 备份系统 | 完整备份PeopleSoft数据库和应用服务器 | 30-60分钟 |
| 3. 应用补丁 | 使用PeopleTools Change Assistant应用补丁 | 2-4小时 |
| 4. 验证修复 | 运行Oracle提供的漏洞验证脚本 | 30分钟 |
| 5. 重启服务 | 重启WebLogic和PeopleSoft应用服务 | 15-30分钟 |
# 使用PeopleTools Change Assistant应用补丁
cd $PT_HOME/setup
./changeassistant.sh
# 或使用命令行方式
cd $PT_HOME
ptcherapply.sh -patchid <PATCH_ID> -envname <ENV_NAME>
企业防御策略:从被动响应到主动预防
CVE-2026-35273事件暴露了企业级ERP系统安全管理的多个薄弱环节。以下是针对PeopleSoft环境的长期安全加固建议:
网络层面: 实施零信任网络架构,确保PeopleSoft管理接口不暴露在互联网上。使用Web应用防火墙(WAF)对PeopleSoft HTTP端点进行深度包检测,识别和阻止SSRF攻击模式。
应用层面: 定期审计PeopleSoft的用户权限配置,实施最小权限原则。启用PeopleSoft的审计日志功能,记录所有管理操作和敏感数据访问。
监控层面: 部署SIEM系统,收集PeopleSoft服务器的日志并建立异常行为基线。关注以下关键指标:
- 非工作时间的管理接口访问
- 异常的数据导出操作
- 来自未知IP地址的认证尝试
- PeopleTools配置的未授权变更
数据来源与参考
- CISA Known Exploited Vulnerabilities Catalog, CVE-2026-35273, Added 2026-06-12
- Rapid7 Blog: "Active Exploitation of Oracle PeopleSoft Zero-Day (CVE-2026-35273)", 2026-06-12
- Arctic Wolf: "Critical Oracle PeopleSoft Vulnerability Actively Exploited in ShinyHunters Campaign"
- Hive Security: "ShinyHunters Were Inside Two Weeks Before Oracle..."
- TechRepublic: "Oracle Warns PeopleSoft Customers After Critical Zero-Day Exploited"
- Help Net Security: "Oracle PeopleSoft servers under attack", 2026-06-11
- Oracle Critical Patch Update Advisory, June 2026
评论