Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Una falla crítica de día cero en el componente de Gestión del Entorno de Actualizaciones de Oracle PeopleSoft está siendo explotada activamente para ejecución remota de código. El problema se categoriza como una vulnerabilidad de Server-Side Request Forgery y puede ser abusado por atacantes no autenticados para comprometer sistemas expuestos. La actividad ha sido vinculada al grupo de amenazas con motivación financiera ShinyHunters.
Investigación
Mandiant observó explotación activa desde el 27 de mayo hasta el 9 de junio de 2026, antes de que Oracle emitiera su aviso de seguridad. Su investigación mostró que los atacantes estaban enfocándose en PSEMHUB endpoints para obtener ejecución remota de código y desplegando agentes MeshCentral para mantener acceso remoto persistente. El sector de educación superior fue un enfoque principal de la campaña, y los investigadores notaron un robo sustancial de datos durante las intrusiones.
Mitigación
Las organizaciones deben aplicar urgentemente el parche fuera de banda de Oracle para las versiones de PeopleTools 8.61 y 8.62. Otros pasos defensivos incluyen deshabilitar el servicio Environment Management Hub y bloquear el acceso externo a /PSEMHUB/* and /PSIGW/HttpListeningConnector. También se recomienda monitorear el tráfico SMB saliente por el puerto 445 hacia destinos no confiables como un control compensatorio.
Respuesta
Si se sospecha de explotación, las organizaciones deben investigar para detectar compromiso incluso después de aplicar el parche. Las revisiones prioritarias deben incluir .jsp archivos inesperados, directorios no autorizados dentro de los PSEMHUB caminos, y conexiones SMB salientes hacia direcciones IP externas. Los equipos de seguridad también deben buscar el camuflaje del agente MeshCentral y revisar los directorios de metadatos del entorno en busca de cambios no autorizados en archivos XML.
graph TB %% Sección de definición de clases classDef exploit fill:#ff9999 %% Rojo para explotación y acceso inicial classDef credential fill:#ffff99 %% Amarillo para acceso a credenciales classDef persistence fill:#99ff99 %% Verde para persistencia classDef recon fill:#99ccff %% Azul para reconocimiento y recopilación classDef exfil fill:#cc99ff %% Morado para exfiltración y movimiento de datos %% Definición de nodos exploit_ssrf[«<b>Acción</b> – <b>T1210 Explotación de Servicios Remotos</b><br/><b>Descripción</b>: Explotación de una vulnerabilidad crítica SSRF de día cero<br/>en Oracle PeopleSoft Updates Environment Management.<br/><b>CVE</b>: CVE-2026-35273<br/><b>Resultado</b>: Ejecución remota de código»] class exploit_ssrf exploit action_smb_capture[«<b>Acción</b> – <b>T1212 SMB/Windows Admin Shares</b><br/><b>Descripción</b>: Creación de conexiones SMB salientes hacia destinos<br/>externos para capturar hashes NetNTLM de cuentas de máquina Windows.<br/><b>Objetivo</b>: Acceso a credenciales»] class action_smb_capture credential tool_meshcentral[«<b>Herramienta</b> – <b>T1219 Software de Acceso Remoto</b><br/><b>Nombre</b>: MeshCentral<br/><b>Descripción</b>: Despliegue de agentes de administración remota<br/>para mantener una presencia persistente en el entorno.»] class tool_meshcentral persistence action_masquerade[«<b>Acción</b> – <b>T1651 Suplantación</b><br/><b>Descripción</b>: Los agentes de MeshCentral se hacen pasar por<br/>servicios legítimos de Microsoft Azure para evadir la detección.»] class action_masquerade persistence action_valid_accounts[«<b>Acción</b> – <b>T1078 Cuentas Válidas</b><br/><b>Descripción</b>: Uso de cuentas válidas para<br/>mantener acceso continuo y estabilidad.»] class action_valid_accounts persistence action_recon[«<b>Acción</b> – <b>Reconocimiento Interno</b><br/><b>Descripción</b>: Realización de escaneo interno y<br/>recopilación de datos desde diversas bases de datos.»] class action_recon recon action_db_gather[«<b>Acción</b> – <b>T1213.006 Datos de Repositorios de Información: Bases de Datos</b><br/><b>Descripción</b>: Recopilación específica de datos<br/>desde sistemas internos de bases de datos.»] class action_db_gather recon action_compress[«<b>Acción</b> – <b>T1560.003 Datos Preparados: Comprimir Archivos</b><br/><b>Descripción</b>: Datos robados comprimidos mediante zstd<br/>para facilitar el proceso de recopilación y exfiltración.»] class action_compress exfil action_exfil[«<b>Acción</b> – <b>T1560 Datos Preparados</b><br/><b>Descripción</b>: Recopilación y preparación de datos comprimidos<br/>antes de la exfiltración.»] class action_exfil exfil %% Conexiones exploit_ssrf –>|conduce_a| action_smb_capture action_smb_capture –>|habilita| tool_meshcentral tool_meshcentral –>|utiliza| action_masquerade action_masquerade –>|respaldado_por| action_valid_accounts action_valid_accounts –>|permite| action_recon action_recon –>|conduce_a| action_db_gather action_db_gather –>|resulta_en| action_compress action_compress –>|prepara| action_exfil
Flujo de Ataque
Detecciones
Posible Intento de Instalación de Software Mesh Agent RMM (vía registry_event)
Ver
Posible Intento de Uso de la Utilidad MeshAgent (vía process_creation)
Ver
IOCs (HashSha256) para detectar: Explotación Activa de Día Cero en Oracle PeopleSoft (CVE-2026-35273)
Ver
IOCs (SourceIP) para detectar: Explotación Activa de Día Cero en Oracle PeopleSoft (CVE-2026-35273)
Ver
IOCs (DestinationIP) para detectar: Explotación Activa de Día Cero en Oracle PeopleSoft (CVE-2026-35273)
Ver
Detectar Explotación de Día Cero en Oracle PeopleSoft CVE-2026-35273 [Servidor Web]
Ver
Detección de Explotación Activa de Día Cero en Oracle PeopleSoft CVE-2026-35273 [Cortafuegos]
Ver
Ejecución de Simulación
Requisito Previo: El Control Previo de Telemetría y Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa deben reflejar directamente los TTPs identificados y apuntar a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa de Ataque y Comandos: El adversario está llevando a cabo un escaneo automatizado para identificar instancias de Oracle PeopleSoft vulnerables. Su objetivo es identificar objetivos susceptibles a CVE-2026-35273. Enviarán solicitudes HTTP GET específicamente creadas a las rutas URI sensibles identificadas. Si el servidor responde con un 200 OK o un error 500 (en lugar de un 404), el adversario confirma la presencia de la aplicación y procede con la carga útil del exploit.
-
Script de Prueba de Regresión:
#!/bin/bash # Script de simulación para validación de detección de URI CVE-2026-35273 TARGET="http://<TARGET_IP>" ENDPOINTS=("/PSEMHUB/hub" "/PSIGW/HttpListeningConnector") echo "[+] Iniciando simulación de acceso a URI CVE-2026-35273..." for uri in "${ENDPOINTS[@]}" do echo "[*] Enviando solicitud a: $uri" # Usamos -v para ver los encabezados, aunque el SIEM solo necesita el registro de log curl -s -v "$TARGET$uri" -o /dev/null echo "[+] Solicitud enviada." done echo "[+] Simulación completa. Verifique el SIEM para alertas que coincidan con las URIs." -
Comandos de Limpieza:
# No se realizan cambios persistentes con esta simulación; # sin embargo, limpie los registros de acceso del servidor web si prueba en un entorno destructivo. # Para Linux: # sudo truncate -s 0 /var/log/apache2/access.log