全球最活跃的勒索软件组织之一利用甲骨文(Oracle)PeopleSoft软件套件中的一个严重漏洞,对约100家客户发起攻击,并向至少一名受害者实施勒索,以不公开窃取数据为条件索取赎金。研究人员对此发出警告。
该组织被追踪标记为ShinyHunters,在甲骨文对该漏洞发出警示之前,已持续利用这一PeopleSoft漏洞超过两周。该漏洞编号为CVE-2026-35273,严重性评分高达9.8分(满分10分),是今年以来遭到实际利用的最高危漏洞之一,此前一直以零日漏洞形式存在。
谷歌旗下的Mandiant安全团队指出,该漏洞属于SSRF(服务端请求伪造)类型,攻击者可借此从存在缺陷的服务器向目标机构内部系统发送请求。甲骨文确认该SSRF漏洞可被远程利用,目前已发布临时缓解措施,但尚未推出完整补丁。谷歌亦证实,已有受害者收到勒索要求。
英国诺丁汉大学于周三正式确认遭到网络入侵,大量学生数据落入攻击者之手,并将事件性质定性为"重大"安全事件。此前,ShinyHunters宣称该大学是其近期攻击目标之一,并公开了据称在此次入侵中窃取的数GB数据。
Mandiant表示,ShinyHunters自5月27日起便开始利用上述漏洞。截至周三,该组织已针对100家用户机构的约300个端点发起攻击,其中约68%的受害机构来自高等教育领域。一名研究人员于周二指出,攻击方"暴露了多个目录,揭示了对PeopleSoft系统持续进行定向攻击的行为"。攻击者还留下了一台包含攻击工具的临时服务器,处于可访问状态。
"尽管部分机构成功阻断了攻击活动或修复了漏洞,但仍有机构遭到入侵,导致数据被发布至ShinyHunters的数据泄露站点(DLS)。"Mandiant在声明中表示。
对临时服务器中遗留的一段bash脚本进行分析后发现,攻击者对被入侵机构实施了系统侦察,包括探测PeopleSoft配置信息、查看进程调度器及WebLogic服务器的XML配置文件。随后,攻击者建立了一条指向IP地址176.120.22.24的出站SSH连接——该地址正是托管ShinyHunters数据泄露站点的服务器。被盗数据在传输前先使用zstd工具进行压缩。据该数据泄露站点披露,仅一名受害者就有48GB数据遭到窃取。
ShinyHunters至少自2019年起便已活跃至今,多年来对全球多家大型企业发动了大规模网络攻击,波及数以百万计的下游用户。已知受害方包括:票务平台Ticketmaster(通过入侵托管其数据的Snowflake)、西班牙最大银行桑坦德银行(Santander)以及Salesforce(并借此波及谷歌及据报道的其他多家企业)。ShinyHunters采用多种手段获取初始访问权限,包括利用云端配置错误、软件漏洞、窃取OAuth令牌、供应链攻击、语音网络钓鱼及其他社会工程学手段。
Mandiant与Rapid7目前正提供详细的入侵指标信息,并就PeopleSoft用户应立即采取的应对措施给出具体建议。鉴于ShinyHunters的高攻击成功率,所有PeopleSoft用户均应高度重视相关安全警示。
Q&A
Q1:CVE-2026-35273漏洞是什么类型的漏洞,危害有多大?
A:CVE-2026-35273是甲骨文PeopleSoft软件中的一个SSRF(服务端请求伪造)漏洞,严重性评分为9.8分(满分10分)。该漏洞可被远程利用,攻击者可借此从存在缺陷的服务器向目标机构内部系统发起请求,进而窃取数据并实施勒索。目前甲骨文已发布临时缓解措施,但尚未发布完整补丁。
Q2:ShinyHunters主要攻击了哪些行业和机构?
A:根据Mandiant的数据,ShinyHunters利用PeopleSoft漏洞已针对约100家用户机构的300个端点发起攻击,其中约68%的受害机构来自高等教育领域。英国诺丁汉大学已公开确认遭到入侵,大量学生数据被窃。此外,历史上ShinyHunters还曾攻击过Ticketmaster、桑坦德银行、Salesforce等大型企业。
Q3:PeopleSoft用户应该如何应对此次漏洞威胁?
A:建议所有PeopleSoft用户立即参考Mandiant与Rapid7发布的入侵指标(IoC)信息,核查自身系统是否已遭入侵。同时,应尽快应用甲骨文发布的临时缓解措施,密切关注官方补丁的发布动态,并对网络流量和SSH出站连接进行严格监控,防止数据外泄。
好文章,需要你的鼓励
英国NHS计划在NHS App中部署AI智能分诊工具,作为三年100亿英镑数字化转型计划的一部分。该工具可引导患者前往最合适的医疗服务渠道,包括全科医生、药店或急诊等。试点数据显示,早高峰电话等待人数减少29%。此外,AI语音记录工具可为临床医生节省近四分之一的行政时间。该应用将于未来12个月向约20万患者开放,并计划于2028年4月前全面推广。
LUMOS是一个让AI通过操作系统无障碍接口直接读取界面语义信息来操控电脑的中间层,避免依赖截图识别,降低AI电脑操作的资源消耗和出错率。
巴黎创业中心Station F正在筹备其F/ai加速器项目的第二批次,计划于9月启动。第一批次吸引了AMD、Anthropic、OpenAI、Meta等众多科技巨头支持,20家AI初创公司共完成3400万美元的种子前融资,并已有两支团队获得国际认可。第二批次将新增ElevenLabs、Nebius、Rippling等合作伙伴,目标是帮助初创公司在六个月内实现100万欧元收入,推动欧洲AI创业生态发展。
腾讯混元联合多所高校提出PolyFlow,用流匹配模型并行生成艺术家风格3D网格,速度比自回归方法快百倍,几何精度达到新高。