CVE-2026-35273: Oracle PeopleSoftゼロデイ攻撃が野放しに利用される

SOC Prime Team

フォローする

CVE-2026-35273: Oracle PeopleSoftゼロデイ攻撃が野放しに利用される

Detection stack

AIDR
Alert
ETL
Query

脅威レポート
攻撃フロー
検出
シミュレーション

概要

Oracle PeopleSoftのUpdates Environment Managementコンポーネントにおける重大なゼロデイの欠陥が、リモートコード実行のために積極的に悪用されています。この問題はサーバーサイドリクエストフォージェリ脆弱性として分類され、認証されていない攻撃者によって公開されたシステムを侵害するために悪用される可能性があります。この活動は、金銭目的の脅威グループであるShinyHuntersに関連付けられています。

調査

Mandiantは、Oracleがセキュリティアドバイザリを発表する前に、2026年5月27日から6月9日にかけての積極的な悪用を観察しました。彼らの調査により、攻撃者が PSEMHUB エンドポイントを狙い、リモートコード実行を達成し、持続的リモートアクセスを維持するためにMeshCentralエージェントを展開していることが示されました。高等教育セクターはキャンペーンの主要なターゲットであり、研究者は侵入中に大規模なデータ窃取が行われたことを指摘しました。

緩和策

組織は緊急にPeopleToolsバージョン8.61および8.62用のOracleのアウトオブバンドパッチを適用すべきです。追加の防御手段として、Environment Management Hubサービスを無効にし、外部へのアクセスをブロックすることをお勧めします。 /PSEMHUB/* and /PSIGW/HttpListeningConnector。未知の宛先へのポート445を経由したアウトバウンドSMBトラフィックを監視することも代替の統制策として推奨されます。

対応

悪用が疑われる場合、組織はパッチ適用後でも侵害の調査を行うべきです。優先的なチェックには予期しない .jsp ファイル、権限のないディレクトリ内の PSEMHUB パス、および外部IPアドレスへのアウトバウンドSMB接続が含まれるべきです。セキュリティチームはまた、MeshCentralエージェントの偽装をチェックし、承認されていないXMLファイルの変更のために環境メタデータディレクトリを確認する必要があります。

graph TB %% クラス定義セクション classDef exploit fill:#ff9999 %% 悪用および初期アクセス用の赤色 classDef credential fill:#ffff99 %% 認証情報アクセス用の黄色 classDef persistence fill:#99ff99 %% 永続化用の緑色 classDef recon fill:#99ccff %% 偵察および収集用の青色 classDef exfil fill:#cc99ff %% 流出およびデータ移動用の紫色 %% ノード定義 exploit_ssrf[“アクション – T1210 リモートサービスの悪用 説明: Oracle PeopleSoft Updates Environment Management における 重大なゼロデイ SSRF 脆弱性の悪用。 CVE: CVE-2026-35273 結果: リモートコード実行”] class exploit_ssrf exploit action_smb_capture[“アクション – T1212 SMB/Windows 管理共有 説明: 外部宛ての送信 SMB 接続を作成し、 Windows マシンアカウントの NetNTLM ハッシュを取得する。 目的: 認証情報アクセス”] class action_smb_capture credential tool_meshcentral[“ツール – T1219 リモートアクセスソフトウェア 名前: MeshCentral 説明: リモート管理エージェントを展開し、 環境内での足場を維持する。”] class tool_meshcentral persistence action_masquerade[“アクション – T1651 なりすまし 説明: MeshCentral エージェントを 正規の Microsoft Azure サービスとして偽装し、検知を回避する。”] class action_masquerade persistence action_valid_accounts[“アクション – T1078 正規アカウント 説明: 有効なアカウントを利用して 継続的なアクセスと安定性を確保する。”] class action_valid_accounts persistence action_recon[“アクション – 内部偵察 説明: 内部スキャンを実行し、 複数のデータベースから情報を収集する。”] class action_recon recon action_db_gather[“アクション – T1213.006 情報リポジトリからのデータ取得: データベース 説明: 内部データベースシステムから 特定のデータを収集する。”] class action_db_gather recon action_compress[“アクション – T1560.003 ステージングデータ: ファイル圧縮 説明: 盗取したデータを zstd で圧縮し、 収集および流出プロセスを容易にする。”] class action_compress exfil action_exfil[“アクション – T1560 ステージングデータ 説明: 流出前に圧縮データを 収集およびステージングする。”] class action_exfil exfil %% 接続 exploit_ssrf –>|につながる| action_smb_capture action_smb_capture –>|可能にする| tool_meshcentral tool_meshcentral –>|利用する| action_masquerade action_masquerade –>|支援される| action_valid_accounts action_valid_accounts –>|許可する| action_recon action_recon –>|につながる| action_db_gather action_db_gather –>|結果として| action_compress action_compress –>|準備する| action_exfil

アタックフロー

攻撃の物語とコマンド: 敵は、脆弱なOracle PeopleSoftインスタンスを特定するための自動スキャンを実施しています。彼らの目標はCVE-2026-35273に影響を受けるターゲットを特定することです。特定の機密URIパスに意図的に作成されたHTTP GETリクエストを送信します。サーバーが200 OKや500エラー（404ではなく）で応答した場合、敵はアプリケーションの存在を確認し、エクスプロイトペイロードを進めます。

回帰テストスクリプト:

#!/bin/bash
# CVE-2026-35273 URI検出検証のシミュレーションスクリプト

TARGET="http://<TARGET_IP>"
ENDPOINTS=("/PSEMHUB/hub" "/PSIGW/HttpListeningConnector")

echo "[+] CVE-2026-35273 URIアクセスのシミュレーションを開始しています..."

for uri in "${ENDPOINTS[@]}"
do
    echo "[*] リクエスト送信先: $uri"
    # ヘッダーを見るために-vを使用しますが、SIEMにはログエントリのみが必要です
    curl -s -v "$TARGET$uri" -o /dev/null
    echo "[+] リクエストが送信されました。"
done

echo "[+] シミュレーションが完了しました。URIsに一致するアラートがあるかSIEMを確認してください。"

クリーンアップコマンド:

# このシミュレーションは永続的な変更をしませんが、
# 破壊的な環境でのテストの場合はWebサーバーのアクセスログをクリアしてください。
# Linuxの場合:
# sudo truncate -s 0 /var/log/apache2/access.log

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加