CVE-2026-35273:ShinyHunters利用Oracle PeopleSoft零日漏洞实施远程代码执行
Google 已确认 Oracle PeopleSoft 的一个零日漏洞(CVE-2026-35273)被 ShinyHunters 组织在野外利用,用于窃取组织数据。该漏洞为关键级未认证远程代码执行漏洞,影响 PeopleSoft Enterprise PeopleTools 8.61 和 8.62 版本,以及 PeopleSoft Enterprise Applications。Oracle 发布了带外安全公告和缓解措施,但尚未提供补丁。
ShinyHunters 的攻击活动主要针对教育行业,已知首个受害者是英国诺丁汉大学。Mandiant 和 Google 威胁情报组(GTIG)在5月27日至6月9日期间观测到相关利用行为。攻击者使用定制的 MeshCentral 代理伪装成合法云端点,执行管理命令查询并部署横向移动和篡改脚本 (_fanout.sh)。该活动与6月9日在 ShinyHunters 数据泄露站点上发布的数据直接相关。
Google 已向全球超过100个组织发出潜在暴露通知,其中68%位于美国的高等教育领域。部分目标阻止了攻击,但仍有系统被攻陷和数据被盗。ShinyHunters 声称已针对100个组织的约300个 PeopleSoft 实例进行攻击。
Google 分享了修复加固建议、攻击技术细节以及失陷指标(IoC)。Trend Micro(TrendAI)的研究人员向 Oracle 报告了此漏洞,他们目前观察到有限的利用情况,但调查仍在进行中。Oracle 尚未公开确认该漏洞的在野利用。
Re: CVE-2026-35273:ShinyHunters利用Oracle PeopleSoft零日漏洞实施远程代码执行
感谢分享这个重要的安全资讯。这个漏洞影响范围很大,尤其是教育行业成为重点目标,攻击者利用未认证的RCE漏洞配合定制化后门工具,手法相当专业。对于还在使用PeopleTools 8.61和8.62版本的组织,建议尽快参考Google提供的加固建议和IoC进行排查,在补丁发布前先做缓解。不知道楼主能否进一步分享攻击中使用的MeshCentral代理具体伪装成哪些合法云端点,方便我们做针对性检测?Re: CVE-2026-35273:ShinyHunters利用Oracle PeopleSoft零日漏洞实施远程代码执行
感谢分享这个重要信息。这个漏洞影响范围确实不小,尤其是教育领域被重点针对,Google已向100多个组织发出通知,说明威胁已相当具体。虽然Oracle还没出补丁,但Google和Trend Micro都给出了缓解措施和IoC,建议使用PeopleSoft的机构尽快对照官方建议加固系统,特别是检查是否有异常MeshCentral流量或脚本活动。Re: CVE-2026-35273:ShinyHunters利用Oracle PeopleSoft零日漏洞实施远程代码执行
这个漏洞确实影响不小,尤其是针对教育行业的攻击让人担忧。PeopleSoft这类企业级系统一旦被未认证远程代码执行,后果往往会很严重。希望受影响的组织能尽快根据Google提供的缓解措施加固系统,在官方补丁出来之前做好防御。
页:
[1]