SOC Prime Bias: Critico

15 Jun 2026 16:03 UTC
newspaper icon Rapid7

CVE-2026-35273: Zero-Day di Oracle PeopleSoft Sfruttato nel Mondo

Author Photo
SOC Prime Team linkedin icon Segui
CVE-2026-35273: Zero-Day di Oracle PeopleSoft Sfruttato nel Mondo
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Riassunto

Una falla critica di giorno zero nel componente Update Environment Management di Oracle PeopleSoft è sotto sfruttamento attivo per l’esecuzione di codice remoto. Il problema è categorizzato come una vulnerabilità di Server-Side Request Forgery e può essere sfruttato da aggressori non autenticati per compromettere sistemi esposti. L’attività è stata collegata al gruppo di minacce motivato finanziariamente ShinyHunters.

Indagine

Mandiant ha osservato uno sfruttamento attivo dal 27 maggio al 9 giugno 2026, prima che Oracle rilasciasse il suo avviso di sicurezza. La loro indagine ha mostrato che gli aggressori stavano prendendo di mira gli endpoint di PSEMHUB per ottenere l’esecuzione di codice remoto e distribuire agenti MeshCentral per mantenere l’accesso remoto persistente. Il settore dell’istruzione superiore era un target importante della campagna, e i ricercatori hanno notato un furto significativo di dati durante le intrusioni.

Mitigazione

Le organizzazioni dovrebbero applicare urgentemente la patch fuori banda di Oracle per le versioni di PeopleTools 8.61 e 8.62. Passi difensivi aggiuntivi includono la disabilitazione del servizio Environment Management Hub e il blocco dell’accesso esterno a /PSEMHUB/* and /PSIGW/HttpListeningConnector. È inoltre consigliata una sorveglianza per il traffico SMB in uscita sulla porta 445 verso destinazioni non fidate come misura di controllo compensativa.

Risposta

Se si sospetta uno sfruttamento, le organizzazioni dovrebbero indagare per compromissioni anche dopo l’applicazione della patch. Gli accertamenti prioritari dovrebbero includere file .jsp inaspettati, directory non autorizzate all’interno dei percorsi gli endpoint di PSEMHUB , e connessioni SMB in uscita a indirizzi IP esterni. I team di sicurezza dovrebbero anche cercare agenti MeshCentral camuffati e rivedere le directory dei metadati dell’ambiente per cambiamenti non autorizzati nei file XML.

graph TB %% Sezione definizione delle classi classDef exploit fill:#ff9999 %% Rosso per sfruttamento e accesso iniziale classDef credential fill:#ffff99 %% Giallo per accesso alle credenziali classDef persistence fill:#99ff99 %% Verde per persistenza classDef recon fill:#99ccff %% Blu per ricognizione e raccolta classDef exfil fill:#cc99ff %% Viola per esfiltrazione e movimento dati %% Definizione dei nodi exploit_ssrf[“<b>Azione</b> – <b>T1210 Sfruttamento dei Servizi Remoti</b><br/><b>Descrizione</b>: Sfruttamento di una vulnerabilità SSRF critica<br/>zero-day in Oracle PeopleSoft Updates Environment Management.<br/><b>CVE</b>: CVE-2026-35273<br/><b>Risultato</b>: Esecuzione remota di codice”] class exploit_ssrf exploit action_smb_capture[“<b>Azione</b> – <b>T1212 SMB/Windows Admin Shares</b><br/><b>Descrizione</b>: Creazione di connessioni SMB in uscita verso destinazioni<br/>esterne per acquisire hash NetNTLM degli account macchina Windows.<br/><b>Obiettivo</b>: Accesso alle credenziali”] class action_smb_capture credential tool_meshcentral[“<b>Strumento</b> – <b>T1219 Software di Accesso Remoto</b><br/><b>Nome</b>: MeshCentral<br/><b>Descrizione</b>: Distribuzione di agenti di gestione remota<br/>per mantenere una presenza nell’ambiente.”] class tool_meshcentral persistence action_masquerade[“<b>Azione</b> – <b>T1651 Mascheramento</b><br/><b>Descrizione</b>: Gli agenti MeshCentral si mascherano come<br/>servizi Microsoft Azure legittimi per evitare il rilevamento.”] class action_masquerade persistence action_valid_accounts[“<b>Azione</b> – <b>T1078 Account Validi</b><br/><b>Descrizione</b>: Utilizzo di account validi per<br/>mantenere accesso continuo e stabilità.”] class action_valid_accounts persistence action_recon[“<b>Azione</b> – <b>Ricognizione Interna</b><br/><b>Descrizione</b>: Esecuzione di scansioni interne e<br/>raccolta di dati da diversi database.”] class action_recon recon action_db_gather[“<b>Azione</b> – <b>T1213.006 Dati da Repository Informativi: Database</b><br/><b>Descrizione</b>: Raccolta specifica di dati<br/>da sistemi database interni.”] class action_db_gather recon action_compress[“<b>Azione</b> – <b>T1560.003 Dati Preparati: Comprimi File</b><br/><b>Descrizione</b>: I dati sottratti vengono compressi tramite zstd<br/>per facilitare il processo di raccolta ed esfiltrazione.”] class action_compress exfil action_exfil[“<b>Azione</b> – <b>T1560 Dati Preparati</b><br/><b>Descrizione</b>: Raccolta e preparazione di dati compressi<br/>prima dell’esfiltrazione.”] class action_exfil exfil %% Connessioni exploit_ssrf –>|porta_a| action_smb_capture action_smb_capture –>|abilita| tool_meshcentral tool_meshcentral –>|utilizza| action_masquerade action_masquerade –>|supportato_da| action_valid_accounts action_valid_accounts –>|consente| action_recon action_recon –>|porta_a| action_db_gather action_db_gather –>|porta_a| action_compress action_compress –>|prepara| action_exfil

Flusso di Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere passato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per scatenare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrazione dell’Attacco & Comandi: L’avversario sta conducendo una scansione automatizzata per identificare le istanze vulnerabili di Oracle PeopleSoft. Il loro obiettivo è identificare i bersagli suscettibili al CVE-2026-35273. Essi invieranno richieste HTTP GET specificamente progettate ai percorsi URI sensibili identificati. Se il server risponde con un 200 OK o un errore 500 (invece di un 404), l’avversario conferma la presenza dell’applicazione e prosegue con il payload di esploit.

  • Script di Test di Regressione:

    #!/bin/bash
# Script di simulazione per la convalida del rilevamento URI CVE-2026-35273

TARGET="http://<TARGET_IP>"
ENDPOINTS=("/PSEMHUB/hub" "/PSIGW/HttpListeningConnector")

echo "[+] Avvio della simulazione di accesso URI CVE-2026-35273..."

for uri in "${ENDPOINTS[@]}"
do
    echo "[*] Invio della richiesta a: $uri"
    # Utilizziamo -v per vedere gli header, anche se il SIEM ha bisogno solo della voce di log
    curl -s -v "$TARGET$uri" -o /dev/null
    echo "[+] Richiesta inviata."
done

echo "[+] Simulazione completata. Controlla nel SIEM per avvisi corrispondenti agli URI."

  • Comandi di Pulizia:

    # Nessuna modifica persistente viene effettuata da questa simulazione; 
# tuttavia, cancellare i log di accesso del server web se si sta testando in un ambiente distruttivo.
# Per Linux:
# sudo tronca -s 0 /var/log/apache2/access.log

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis