Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Eine kritische Zero-Day-Schwachstelle in der Updates Environment Management-Komponente von Oracle PeopleSoft wird aktiv für die Ausführung von Remote-Code ausgenutzt. Das Problem wird als Server-Side Request Forgery-Schwachstelle kategorisiert und kann von nicht authentifizierten Angreifern missbraucht werden, um exponierte Systeme zu kompromittieren. Die Aktivität wurde mit der finanziell motivierten Bedrohungsgruppe ShinyHunters in Verbindung gebracht.
Untersuchung
Mandiant beobachtete eine aktive Ausnutzung vom 27. Mai bis zum 9. Juni 2026, bevor Oracle seine Sicherheitswarnung veröffentlichte. Ihre Untersuchung zeigte, dass Angreifer auf PSEMHUB Endpunkte zielten, um eine Remote-Code-Ausführung zu erlangen und MeshCentral-Agenten einzusetzen, um einen beständigen Fernzugriff aufrechtzuerhalten. Der Hochschulsektor stand im Fokus der Kampagne, und Forscher stellten während der Einbrüche erheblichen Datendiebstahl fest.
Abschwächung
Organisationen sollten dringend den außerplanmäßigen Patch von Oracle für die PeopleTools-Versionen 8.61 und 8.62 anwenden. Weitere Verteidigungsschritte umfassen die Deaktivierung des Environment Management Hub-Dienstes und das Blockieren des externen Zugriffs auf /PSEMHUB/* and /PSIGW/HttpListeningConnector. Überwachung ausgehenden SMB-Datenverkehrs über Port 445 zu unzuverlässigen Zielen wird ebenfalls als kompensierende Maßnahme empfohlen.
Reaktion
Wenn eine Ausnutzung vermutet wird, sollten Organisationen eine Untersuchung auf Kompromittierung einleiten, auch nach der Patch-Installation. Prioritätsprüfungen sollten unerwartete .jsp Dateien, unautorisierte Verzeichnisse innerhalb von PSEMHUB Pfaden und ausgehende SMB-Verbindungen zu externen IP-Adressen umfassen. Sicherheitsteams sollten auch nach MeshCentral-Agents Ausschau halten, die sich tarnen, und Umgebungs-Metadatenverzeichnisse auf ungesetzliche XML-Dateiänderungen prüfen.
graph TB %% Klassendefinitionsbereich classDef exploit fill:#ff9999 %% Rot für Ausnutzung und Initial Access classDef credential fill:#ffff99 %% Gelb für Zugriff auf Anmeldedaten classDef persistence fill:#99ff99 %% Grün für Persistenz classDef recon fill:#99ccff %% Blau für Aufklärung und Sammlung classDef exfil fill:#cc99ff %% Violett für Exfiltration und Datenbewegung %% Knotendefinitionen exploit_ssrf[„<b>Aktion</b> – <b>T1210 Ausnutzung von Remote-Diensten</b><br/><b>Beschreibung</b>: Ausnutzung einer kritischen Zero-Day-SSRF-Schwachstelle<br/>in Oracle PeopleSoft Updates Environment Management.<br/><b>CVE</b>: CVE-2026-35273<br/><b>Ergebnis</b>: Remote-Codeausführung“] class exploit_ssrf exploit action_smb_capture[„<b>Aktion</b> – <b>T1212 SMB/Windows-Administrationsfreigaben</b><br/><b>Beschreibung</b>: Aufbau ausgehender SMB-Verbindungen zu externen<br/>Zielen, um NetNTLM-Hashes von Windows-Computerkonten zu erfassen.<br/><b>Ziel</b>: Zugriff auf Anmeldedaten“] class action_smb_capture credential tool_meshcentral[„<b>Werkzeug</b> – <b>T1219 Remote-Access-Software</b><br/><b>Name</b>: MeshCentral<br/><b>Beschreibung</b>: Bereitstellung von Remote-Management-Agenten,<br/>um einen dauerhaften Zugriff in der Umgebung aufrechtzuerhalten.“] class tool_meshcentral persistence action_masquerade[„<b>Aktion</b> – <b>T1651 Tarnung</b><br/><b>Beschreibung</b>: MeshCentral-Agenten geben sich als<br/>legitime Microsoft-Azure-Dienste aus, um Erkennung zu vermeiden.“] class action_masquerade persistence action_valid_accounts[„<b>Aktion</b> – <b>T1078 Gültige Konten</b><br/><b>Beschreibung</b>: Verwendung gültiger Konten für<br/>fortgesetzten Zugriff und Stabilität.“] class action_valid_accounts persistence action_recon[„<b>Aktion</b> – <b>Interne Aufklärung</b><br/><b>Beschreibung</b>: Durchführung interner Scans und<br/>Sammeln von Daten aus verschiedenen Datenbanken.“] class action_recon recon action_db_gather[„<b>Aktion</b> – <b>T1213.006 Daten aus Informationsspeichern: Datenbanken</b><br/><b>Beschreibung</b>: Spezifische Sammlung von Daten<br/>aus internen Datenbanksystemen.“] class action_db_gather recon action_compress[„<b>Aktion</b> – <b>T1560.003 Bereitgestellte Daten: Dateien komprimieren</b><br/><b>Beschreibung</b>: Gestohlene Daten werden mit zstd komprimiert,<br/>um Sammlung und Exfiltration zu erleichtern.“] class action_compress exfil action_exfil[„<b>Aktion</b> – <b>T1560 Bereitgestellte Daten</b><br/><b>Beschreibung</b>: Sammlung und Vorbereitung komprimierter Daten<br/>vor der Exfiltration.“] class action_exfil exfil %% Verbindungen exploit_ssrf –>|führt_zu| action_smb_capture action_smb_capture –>|ermöglicht| tool_meshcentral tool_meshcentral –>|verwendet| action_masquerade action_masquerade –>|unterstützt_durch| action_valid_accounts action_valid_accounts –>|ermöglicht| action_recon action_recon –>|führt_zu| action_db_gather action_db_gather –>|resultiert_in| action_compress action_compress –>|bereitet_vor| action_exfil
Angriffsfluss
Erkennungen
Möglicher Versuch der Installation von Mesh Agent RMM-Software (über registry_event)
Ansicht
Möglicher Versuch der Nutzung des MeshAgent-Dienstprogramms (über process_creation)
Ansicht
IOCs (HashSha256) zur Erkennung: Aktive Ausnutzung der Oracle PeopleSoft Zero-Day (CVE-2026-35273)
Ansicht
IOCs (SourceIP) zur Erkennung: Aktive Ausnutzung der Oracle PeopleSoft Zero-Day (CVE-2026-35273)
Ansicht
IOCs (DestinationIP) zur Erkennung: Aktive Ausnutzung der Oracle PeopleSoft Zero-Day (CVE-2026-35273)
Ansicht
Erkennung der Ausnutzung der Oracle PeopleSoft Zero-Day CVE-2026-35273 [Webserver]
Ansicht
Aktive Ausnutzungserkennung der Oracle PeopleSoft Zero-Day CVE-2026-35273 [Firewall]
Ansicht
Ausführung der Simulation
Voraussetzung: Der Telemetrie- & Basislinien-Pre-Flight-Check muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der feindlichen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN genau die identifizierten TTPs widerspiegeln und zielen darauf ab, die erwartete Telemetrie zu generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu einer Fehldiagnose.
-
Angriffsbericht & Befehle: Der Angreifer führt einen automatisierten Scan durch, um anfällige Oracle PeopleSoft-Instanzen zu identifizieren. Ihr Ziel ist es, Ziele zu identifizieren, die für CVE-2026-35273 anfällig sind. Sie senden speziell gestaltete HTTP GET-Anfragen an die identifizierten sensiblen URI-Pfade. Wenn der Server mit einem 200 OK oder 500 Fehler (statt eines 404) antwortet, bestätigt der Angreifer die Anwesenheit der Anwendung und fährt mit der Exploiting-Nutzlast fort.
-
Regressionstest-Skript:
#!/bin/bash # Simulationsskript für die CVE-2026-35273 URI-Detektionsvalidierung TARGET="http://<TARGET_IP>" ENDPOINTS=("/PSEMHUB/hub" "/PSIGW/HttpListeningConnector") echo "[+] Starten der Simulation des CVE-2026-35273 URI-Zugriffs..." for uri in "${ENDPOINTS[@]}" do echo "[*] Anfrage senden an: $uri" # Wir verwenden -v, um die Header zu sehen, obwohl das SIEM nur den Logeintrag benötigt curl -s -v "$TARGET$uri" -o /dev/null echo "[+] Anfrage gesendet." done echo "[+] Simulation abgeschlossen. Überprüfen Sie SIEM auf Warnungen, die mit den URIs übereinstimmen." -
Bereinigungskommandos:
# Diese Simulation verursacht keine bleibenden Änderungen; # dennoch löschen Sie die Webserver-Zugriffsprotokolle, wenn Sie in einer destruktiven Umgebung testen. # Für Linux: # sudo truncate -s 0 /var/log/apache2/access.log