CVE-2026-35273: Oracle PeopleSoft Zero-Day in freier Wildbahn ausgenutzt
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine kritische Zero-Day-Schwachstelle in der Updates Environment Management-Komponente von Oracle PeopleSoft wird aktiv für die Ausführung von Remote-Code ausgenutzt. Das Problem wird als Server-Side Request Forgery-Schwachstelle kategorisiert und kann von nicht authentifizierten Angreifern missbraucht werden, um exponierte Systeme zu kompromittieren. Die Aktivität wurde mit der finanziell motivierten Bedrohungsgruppe ShinyHunters in Verbindung gebracht.
Untersuchung
Mandiant beobachtete eine aktive Ausnutzung vom 27. Mai bis zum 9. Juni 2026, bevor Oracle seine Sicherheitswarnung veröffentlichte. Ihre Untersuchung zeigte, dass Angreifer auf PSEMHUB Endpunkte zielten, um eine Remote-Code-Ausführung zu erlangen und MeshCentral-Agenten einzusetzen, um einen beständigen Fernzugriff aufrechtzuerhalten. Der Hochschulsektor stand im Fokus der Kampagne, und Forscher stellten während der Einbrüche erheblichen Datendiebstahl fest.
Abschwächung
Organisationen sollten dringend den außerplanmäßigen Patch von Oracle für die PeopleTools-Versionen 8.61 und 8.62 anwenden. Weitere Verteidigungsschritte umfassen die Deaktivierung des Environment Management Hub-Dienstes und das Blockieren des externen Zugriffs auf /PSEMHUB/* and /PSIGW/HttpListeningConnector. Überwachung ausgehenden SMB-Datenverkehrs über Port 445 zu unzuverlässigen Zielen wird ebenfalls als kompensierende Maßnahme empfohlen.
Reaktion
Wenn eine Ausnutzung vermutet wird, sollten Organisationen eine Untersuchung auf Kompromittierung einleiten, auch nach der Patch-Installation. Prioritätsprüfungen sollten unerwartete .jsp Dateien, unautorisierte Verzeichnisse innerhalb von PSEMHUB Pfaden und ausgehende SMB-Verbindungen zu externen IP-Adressen umfassen. Sicherheitsteams sollten auch nach MeshCentral-Agents Ausschau halten, die sich tarnen, und Umgebungs-Metadatenverzeichnisse auf ungesetzliche XML-Dateiänderungen prüfen.
Angriffsfluss
Erkennungen
Möglicher Versuch der Installation von Mesh Agent RMM-Software (über registry_event)
Ansicht
Möglicher Versuch der Nutzung des MeshAgent-Dienstprogramms (über process_creation)
Ansicht
IOCs (HashSha256) zur Erkennung: Aktive Ausnutzung der Oracle PeopleSoft Zero-Day (CVE-2026-35273)
Ansicht
IOCs (SourceIP) zur Erkennung: Aktive Ausnutzung der Oracle PeopleSoft Zero-Day (CVE-2026-35273)
Ansicht
IOCs (DestinationIP) zur Erkennung: Aktive Ausnutzung der Oracle PeopleSoft Zero-Day (CVE-2026-35273)
Ansicht
Erkennung der Ausnutzung der Oracle PeopleSoft Zero-Day CVE-2026-35273 [Webserver]
Ansicht
Aktive Ausnutzungserkennung der Oracle PeopleSoft Zero-Day CVE-2026-35273 [Firewall]
Ansicht
Ausführung der Simulation
Voraussetzung: Der Telemetrie- & Basislinien-Pre-Flight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der feindlichen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN genau die identifizierten TTPs widerspiegeln und zielen darauf ab, die erwartete Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu einer Fehldiagnose.
-
Angriffsbericht & Befehle: Der Angreifer führt einen automatisierten Scan durch, um anfällige Oracle PeopleSoft-Instanzen zu identifizieren. Ihr Ziel ist es, Ziele zu identifizieren, die für CVE-2026-35273 anfällig sind. Sie senden speziell gestaltete HTTP GET-Anfragen an die identifizierten sensiblen URI-Pfade. Wenn der Server mit einem 200 OK oder 500 Fehler (statt eines 404) antwortet, bestätigt der Angreifer die Anwesenheit der Anwendung und fährt mit der Exploiting-Nutzlast fort.
-
Regressionstest-Skript:
#!/bin/bash # Simulationsskript für die CVE-2026-35273 URI-Detektionsvalidierung TARGET="http://<TARGET_IP>" ENDPOINTS=("/PSEMHUB/hub" "/PSIGW/HttpListeningConnector") echo "[+] Starten der Simulation des CVE-2026-35273 URI-Zugriffs..." for uri in "${ENDPOINTS[@]}" do echo "[*] Anfrage senden an: $uri" # Wir verwenden -v, um die Header zu sehen, obwohl das SIEM nur den Logeintrag benötigt curl -s -v "$TARGET$uri" -o /dev/null echo "[+] Anfrage gesendet." done echo "[+] Simulation abgeschlossen. Überprüfen Sie SIEM auf Warnungen, die mit den URIs übereinstimmen." -
Bereinigungskommandos:
# Diese Simulation verursacht keine bleibenden Änderungen; # dennoch löschen Sie die Webserver-Zugriffsprotokolle, wenn Sie in einer destruktiven Umgebung testen. # Für Linux: # sudo truncate -s 0 /var/log/apache2/access.log