PeopleSoft零日漏洞波及数百机构,数十GB数据遭窃

安全研究人员披露,全球最活跃的勒索软件组织ShinyHunters利用Oracle PeopleSoft中一个严重程度高达9.8分的零日漏洞(CVE-2026-35273),攻击约100家客户组织,窃取大量数据并实施勒索。受害者涵盖高等教育机构(占68%),英国诺丁汉大学已确认遭攻击,单一受害者被盗数据达48GB。目前Oracle已发布临时缓解措施,但完整补丁尚未发布。

全球最活跃的勒索软件组织之一利用甲骨文(Oracle)PeopleSoft软件套件中的一个严重漏洞,对约100家客户发起攻击,并向至少一名受害者实施勒索,以不公开窃取数据为条件索取赎金。研究人员对此发出警告。

该组织被追踪标记为ShinyHunters,在甲骨文对该漏洞发出警示之前,已持续利用这一PeopleSoft漏洞超过两周。该漏洞编号为CVE-2026-35273,严重性评分高达9.8分(满分10分),是今年以来遭到实际利用的最高危漏洞之一,此前一直以零日漏洞形式存在。

谷歌旗下的Mandiant安全团队指出,该漏洞属于SSRF(服务端请求伪造)类型,攻击者可借此从存在缺陷的服务器向目标机构内部系统发送请求。甲骨文确认该SSRF漏洞可被远程利用,目前已发布临时缓解措施,但尚未推出完整补丁。谷歌亦证实,已有受害者收到勒索要求。

英国诺丁汉大学于周三正式确认遭到网络入侵,大量学生数据落入攻击者之手,并将事件性质定性为"重大"安全事件。此前,ShinyHunters宣称该大学是其近期攻击目标之一,并公开了据称在此次入侵中窃取的数GB数据。

Mandiant表示,ShinyHunters自5月27日起便开始利用上述漏洞。截至周三,该组织已针对100家用户机构的约300个端点发起攻击,其中约68%的受害机构来自高等教育领域。一名研究人员于周二指出,攻击方"暴露了多个目录,揭示了对PeopleSoft系统持续进行定向攻击的行为"。攻击者还留下了一台包含攻击工具的临时服务器,处于可访问状态。

"尽管部分机构成功阻断了攻击活动或修复了漏洞,但仍有机构遭到入侵,导致数据被发布至ShinyHunters的数据泄露站点(DLS)。"Mandiant在声明中表示。

对临时服务器中遗留的一段bash脚本进行分析后发现,攻击者对被入侵机构实施了系统侦察,包括探测PeopleSoft配置信息、查看进程调度器及WebLogic服务器的XML配置文件。随后,攻击者建立了一条指向IP地址176.120.22.24的出站SSH连接——该地址正是托管ShinyHunters数据泄露站点的服务器。被盗数据在传输前先使用zstd工具进行压缩。据该数据泄露站点披露,仅一名受害者就有48GB数据遭到窃取。

ShinyHunters至少自2019年起便已活跃至今,多年来对全球多家大型企业发动了大规模网络攻击,波及数以百万计的下游用户。已知受害方包括:票务平台Ticketmaster(通过入侵托管其数据的Snowflake)、西班牙最大银行桑坦德银行(Santander)以及Salesforce(并借此波及谷歌及据报道的其他多家企业)。ShinyHunters采用多种手段获取初始访问权限,包括利用云端配置错误、软件漏洞、窃取OAuth令牌、供应链攻击、语音网络钓鱼及其他社会工程学手段。

Mandiant与Rapid7目前正提供详细的入侵指标信息,并就PeopleSoft用户应立即采取的应对措施给出具体建议。鉴于ShinyHunters的高攻击成功率,所有PeopleSoft用户均应高度重视相关安全警示。

Q&A

Q1:CVE-2026-35273漏洞是什么类型的漏洞,危害有多大?

A:CVE-2026-35273是甲骨文PeopleSoft软件中的一个SSRF(服务端请求伪造)漏洞,严重性评分为9.8分(满分10分)。该漏洞可被远程利用,攻击者可借此从存在缺陷的服务器向目标机构内部系统发起请求,进而窃取数据并实施勒索。目前甲骨文已发布临时缓解措施,但尚未发布完整补丁。

Q2:ShinyHunters主要攻击了哪些行业和机构?

A:根据Mandiant的数据,ShinyHunters利用PeopleSoft漏洞已针对约100家用户机构的300个端点发起攻击,其中约68%的受害机构来自高等教育领域。英国诺丁汉大学已公开确认遭到入侵,大量学生数据被窃。此外,历史上ShinyHunters还曾攻击过Ticketmaster、桑坦德银行、Salesforce等大型企业。

Q3:PeopleSoft用户应该如何应对此次漏洞威胁?

A:建议所有PeopleSoft用户立即参考Mandiant与Rapid7发布的入侵指标(IoC)信息,核查自身系统是否已遭入侵。同时,应尽快应用甲骨文发布的临时缓解措施,密切关注官方补丁的发布动态,并对网络流量和SSH出站连接进行严格监控,防止数据外泄。

来源:ArsTechnica

0赞

好文章,需要你的鼓励

2026

06/13

16:46

分享

点赞

邮件订阅