CVE-2026-35273: Oracle PeopleSoftゼロデイ攻撃が野放しに利用される
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
Oracle PeopleSoftのUpdates Environment Managementコンポーネントにおける重大なゼロデイの欠陥が、リモートコード実行のために積極的に悪用されています。この問題はサーバーサイドリクエストフォージェリ脆弱性として分類され、認証されていない攻撃者によって公開されたシステムを侵害するために悪用される可能性があります。この活動は、金銭目的の脅威グループであるShinyHuntersに関連付けられています。
調査
Mandiantは、Oracleがセキュリティアドバイザリを発表する前に、2026年5月27日から6月9日にかけての積極的な悪用を観察しました。彼らの調査により、攻撃者が PSEMHUB エンドポイントを狙い、リモートコード実行を達成し、持続的リモートアクセスを維持するためにMeshCentralエージェントを展開していることが示されました。高等教育セクターはキャンペーンの主要なターゲットであり、研究者は侵入中に大規模なデータ窃取が行われたことを指摘しました。
緩和策
組織は緊急にPeopleToolsバージョン8.61および8.62用のOracleのアウトオブバンドパッチを適用すべきです。追加の防御手段として、Environment Management Hubサービスを無効にし、外部へのアクセスをブロックすることをお勧めします。 /PSEMHUB/* and /PSIGW/HttpListeningConnector。未知の宛先へのポート445を経由したアウトバウンドSMBトラフィックを監視することも代替の統制策として推奨されます。
対応
悪用が疑われる場合、組織はパッチ適用後でも侵害の調査を行うべきです。優先的なチェックには予期しない .jsp ファイル、権限のないディレクトリ内の PSEMHUB パス、および外部IPアドレスへのアウトバウンドSMB接続が含まれるべきです。セキュリティチームはまた、MeshCentralエージェントの偽装をチェックし、承認されていないXMLファイルの変更のために環境メタデータディレクトリを確認する必要があります。
アタックフロー
検出
Mesh Agent RMMソフトウェアインストールの試行の可能性(registry_event経由)
表示
MeshAgentユーティリティ使用の試行の可能性(process_creation経由)
表示
IOC (HashSha256) を用いた検出: Oracle PeopleSoftゼロデイの積極的な悪用(CVE-2026-35273)
表示
IOC (SourceIP) を用いた検出: Oracle PeopleSoftゼロデイの積極的な悪用(CVE-2026-35273)
表示
IOC (DestinationIP) を用いた検出: Oracle PeopleSoftゼロデイの積極的な悪用(CVE-2026-35273)
表示
Oracle PeopleSoftゼロデイCVE-2026-35273の悪用を検出[Webサーバー]
表示
Oracle PeopleSoftゼロデイCVE-2026-35273の悪用の積極的な検出[ファイアウォール]
表示
シミュレーションの実行
前提条件: テレメトリとベースラインのプレフライトチェックに合格している必要があります。
根拠: このセクションは、検出ルールをトリガーするために設計された敵の手法(TTP)の正確な実行を詳述しています。コマンドと物語は特定のTTPs を直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目指すべきです。抽象的または関連のない例は誤診につながります。
-
攻撃の物語とコマンド: 敵は、脆弱なOracle PeopleSoftインスタンスを特定するための自動スキャンを実施しています。彼らの目標はCVE-2026-35273に影響を受けるターゲットを特定することです。特定の機密URIパスに意図的に作成されたHTTP GETリクエストを送信します。サーバーが200 OKや500エラー(404ではなく)で応答した場合、敵はアプリケーションの存在を確認し、エクスプロイトペイロードを進めます。
-
回帰テストスクリプト:
#!/bin/bash # CVE-2026-35273 URI検出検証のシミュレーションスクリプト TARGET="http://<TARGET_IP>" ENDPOINTS=("/PSEMHUB/hub" "/PSIGW/HttpListeningConnector") echo "[+] CVE-2026-35273 URIアクセスのシミュレーションを開始しています..." for uri in "${ENDPOINTS[@]}" do echo "[*] リクエスト送信先: $uri" # ヘッダーを見るために-vを使用しますが、SIEMにはログエントリのみが必要です curl -s -v "$TARGET$uri" -o /dev/null echo "[+] リクエストが送信されました。" done echo "[+] シミュレーションが完了しました。URIsに一致するアラートがあるかSIEMを確認してください。" -
クリーンアップコマンド:
# このシミュレーションは永続的な変更をしませんが、 # 破壊的な環境でのテストの場合はWebサーバーのアクセスログをクリアしてください。 # Linuxの場合: # sudo truncate -s 0 /var/log/apache2/access.log