CVE-2026-35273: Día Cero de Oracle PeopleSoft Explotado en Libertad
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Una falla crítica de día cero en el componente de Gestión del Entorno de Actualizaciones de Oracle PeopleSoft está siendo explotada activamente para ejecución remota de código. El problema se categoriza como una vulnerabilidad de Server-Side Request Forgery y puede ser abusado por atacantes no autenticados para comprometer sistemas expuestos. La actividad ha sido vinculada al grupo de amenazas con motivación financiera ShinyHunters.
Investigación
Mandiant observó explotación activa desde el 27 de mayo hasta el 9 de junio de 2026, antes de que Oracle emitiera su aviso de seguridad. Su investigación mostró que los atacantes estaban enfocándose en PSEMHUB endpoints para obtener ejecución remota de código y desplegando agentes MeshCentral para mantener acceso remoto persistente. El sector de educación superior fue un enfoque principal de la campaña, y los investigadores notaron un robo sustancial de datos durante las intrusiones.
Mitigación
Las organizaciones deben aplicar urgentemente el parche fuera de banda de Oracle para las versiones de PeopleTools 8.61 y 8.62. Otros pasos defensivos incluyen deshabilitar el servicio Environment Management Hub y bloquear el acceso externo a /PSEMHUB/* and /PSIGW/HttpListeningConnector. También se recomienda monitorear el tráfico SMB saliente por el puerto 445 hacia destinos no confiables como un control compensatorio.
Respuesta
Si se sospecha de explotación, las organizaciones deben investigar para detectar compromiso incluso después de aplicar el parche. Las revisiones prioritarias deben incluir .jsp archivos inesperados, directorios no autorizados dentro de los PSEMHUB caminos, y conexiones SMB salientes hacia direcciones IP externas. Los equipos de seguridad también deben buscar el camuflaje del agente MeshCentral y revisar los directorios de metadatos del entorno en busca de cambios no autorizados en archivos XML.
Flujo de Ataque
Detecciones
Posible Intento de Instalación de Software Mesh Agent RMM (vía registry_event)
Ver
Posible Intento de Uso de la Utilidad MeshAgent (vía process_creation)
Ver
IOCs (HashSha256) para detectar: Explotación Activa de Día Cero en Oracle PeopleSoft (CVE-2026-35273)
Ver
IOCs (SourceIP) para detectar: Explotación Activa de Día Cero en Oracle PeopleSoft (CVE-2026-35273)
Ver
IOCs (DestinationIP) para detectar: Explotación Activa de Día Cero en Oracle PeopleSoft (CVE-2026-35273)
Ver
Detectar Explotación de Día Cero en Oracle PeopleSoft CVE-2026-35273 [Servidor Web]
Ver
Detección de Explotación Activa de Día Cero en Oracle PeopleSoft CVE-2026-35273 [Cortafuegos]
Ver
Ejecución de Simulación
Requisito Previo: El Control Previo de Telemetría y Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa deben reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa de Ataque y Comandos: El adversario está llevando a cabo un escaneo automatizado para identificar instancias de Oracle PeopleSoft vulnerables. Su objetivo es identificar objetivos susceptibles a CVE-2026-35273. Enviarán solicitudes HTTP GET específicamente creadas a las rutas URI sensibles identificadas. Si el servidor responde con un 200 OK o un error 500 (en lugar de un 404), el adversario confirma la presencia de la aplicación y procede con la carga útil del exploit.
-
Script de Prueba de Regresión:
#!/bin/bash # Script de simulación para validación de detección de URI CVE-2026-35273 TARGET="http://<TARGET_IP>" ENDPOINTS=("/PSEMHUB/hub" "/PSIGW/HttpListeningConnector") echo "[+] Iniciando simulación de acceso a URI CVE-2026-35273..." for uri in "${ENDPOINTS[@]}" do echo "[*] Enviando solicitud a: $uri" # Usamos -v para ver los encabezados, aunque el SIEM solo necesita el registro de log curl -s -v "$TARGET$uri" -o /dev/null echo "[+] Solicitud enviada." done echo "[+] Simulación completa. Verifique el SIEM para alertas que coincidan con las URIs." -
Comandos de Limpieza:
# No se realizan cambios persistentes con esta simulación; # sin embargo, limpie los registros de acceso del servidor web si prueba en un entorno destructivo. # Para Linux: # sudo truncate -s 0 /var/log/apache2/access.log