SOC Prime Bias: Critico

15 Jun 2026 16:03 UTC

CVE-2026-35273: Zero-Day di Oracle PeopleSoft Sfruttato nel Mondo

Author Photo
SOC Prime Team linkedin icon Segui
CVE-2026-35273: Zero-Day di Oracle PeopleSoft Sfruttato nel Mondo
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riassunto

Una falla critica di giorno zero nel componente Update Environment Management di Oracle PeopleSoft è sotto sfruttamento attivo per l’esecuzione di codice remoto. Il problema è categorizzato come una vulnerabilità di Server-Side Request Forgery e può essere sfruttato da aggressori non autenticati per compromettere sistemi esposti. L’attività è stata collegata al gruppo di minacce motivato finanziariamente ShinyHunters.

Indagine

Mandiant ha osservato uno sfruttamento attivo dal 27 maggio al 9 giugno 2026, prima che Oracle rilasciasse il suo avviso di sicurezza. La loro indagine ha mostrato che gli aggressori stavano prendendo di mira gli endpoint di PSEMHUB per ottenere l’esecuzione di codice remoto e distribuire agenti MeshCentral per mantenere l’accesso remoto persistente. Il settore dell’istruzione superiore era un target importante della campagna, e i ricercatori hanno notato un furto significativo di dati durante le intrusioni.

Mitigazione

Le organizzazioni dovrebbero applicare urgentemente la patch fuori banda di Oracle per le versioni di PeopleTools 8.61 e 8.62. Passi difensivi aggiuntivi includono la disabilitazione del servizio Environment Management Hub e il blocco dell’accesso esterno a /PSEMHUB/* and /PSIGW/HttpListeningConnector. È inoltre consigliata una sorveglianza per il traffico SMB in uscita sulla porta 445 verso destinazioni non fidate come misura di controllo compensativa.

Risposta

Se si sospetta uno sfruttamento, le organizzazioni dovrebbero indagare per compromissioni anche dopo l’applicazione della patch. Gli accertamenti prioritari dovrebbero includere file .jsp inaspettati, directory non autorizzate all’interno dei percorsi gli endpoint di PSEMHUB , e connessioni SMB in uscita a indirizzi IP esterni. I team di sicurezza dovrebbero anche cercare agenti MeshCentral camuffati e rivedere le directory dei metadati dell’ambiente per cambiamenti non autorizzati nei file XML.

Flusso di Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere passato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per scatenare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP identificate e mirare a generare la telemetria esatta attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a una diagnosi errata.

  • Narrazione dell’Attacco & Comandi: L’avversario sta conducendo una scansione automatizzata per identificare le istanze vulnerabili di Oracle PeopleSoft. Il loro obiettivo è identificare i bersagli suscettibili al CVE-2026-35273. Essi invieranno richieste HTTP GET specificamente progettate ai percorsi URI sensibili identificati. Se il server risponde con un 200 OK o un errore 500 (invece di un 404), l’avversario conferma la presenza dell’applicazione e prosegue con il payload di esploit.

  • Script di Test di Regressione:

    #!/bin/bash
    # Script di simulazione per la convalida del rilevamento URI CVE-2026-35273
    
    TARGET="http://<TARGET_IP>"
    ENDPOINTS=("/PSEMHUB/hub" "/PSIGW/HttpListeningConnector")
    
    echo "[+] Avvio della simulazione di accesso URI CVE-2026-35273..."
    
    for uri in "${ENDPOINTS[@]}"
    do
        echo "[*] Invio della richiesta a: $uri"
        # Utilizziamo -v per vedere gli header, anche se il SIEM ha bisogno solo della voce di log
        curl -s -v "$TARGET$uri" -o /dev/null
        echo "[+] Richiesta inviata."
    done
    
    echo "[+] Simulazione completata. Controlla nel SIEM per avvisi corrispondenti agli URI."
  • Comandi di Pulizia:

    # Nessuna modifica persistente viene effettuata da questa simulazione; 
    # tuttavia, cancellare i log di accesso del server web se si sta testando in un ambiente distruttivo.
    # Per Linux:
    # sudo tronca -s 0 /var/log/apache2/access.log