SOC Prime Bias: Crítico

15 Jun 2026 16:03 UTC

CVE-2026-35273: Zero-Day do Oracle PeopleSoft Explorada na Natureza

Author Photo
SOC Prime Team linkedin icon Seguir
CVE-2026-35273: Zero-Day do Oracle PeopleSoft Explorada na Natureza
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Uma falha crítica de dia zero no componente de Gerenciamento de Ambiente de Atualizações do Oracle PeopleSoft está sendo explorada ativamente para execução remota de código. O problema é categorizado como uma vulnerabilidade de Server-Side Request Forgery e pode ser explorado por atacantes não autenticados para comprometer sistemas expostos. A atividade foi vinculada ao grupo de ameaças motivado financeiramente ShinyHunters.

Investigação

Mandiant observou exploração ativa de 27 de maio a 9 de junho de 2026, antes de a Oracle lançar seu aviso de segurança. Sua investigação mostrou que os atacantes estavam mirando PSEMHUB endpoints para obter execução remota de código e implantando agentes MeshCentral para manter acesso remoto persistente. O setor de educação superior foi um foco principal da campanha, e os pesquisadores notaram um roubo substancial de dados durante as intrusões.

Mitigação

As organizações devem aplicar urgentemente o patch fora do ciclo da Oracle para as versões 8.61 e 8.62 do PeopleTools. Passos defensivos adicionais incluem desativar o serviço Environment Management Hub e bloquear o acesso externo a /PSEMHUB/* and /PSIGW/HttpListeningConnector. Recomenda-se também monitorar o tráfego de SMB de saída pela porta 445 para destinos não confiáveis como um controle compensatório.

Resposta

Se a exploração for suspeita, as organizações devem investigar o comprometimento mesmo após a aplicação de patches. Os cheques prioritários devem incluir .jsp arquivos inesperados, diretórios não autorizados dentro de PSEMHUB caminhos, e conexões SMB de saída para endereços IP externos. As equipes de segurança também devem procurar por agentes MeshCentral mascarados e revisar diretórios de metadados do ambiente para mudanças não autorizadas em arquivos XML.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação Pré-voo de Telemetria & Baseline deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica de adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa & Comandos de Ataque: O adversário está conduzindo uma varredura automatizada para identificar instâncias vulneráveis do Oracle PeopleSoft. Seu objetivo é identificar alvos suscetíveis ao CVE-2026-35273. Eles enviarão solicitações HTTP GET especificamente elaboradas para os caminhos URI sensíveis identificados. Se o servidor responder com um 200 OK ou Erro 500 (em vez de um 404), o adversário confirma a presença da aplicação e prossegue com a carga útil do exploit.

  • Script de Teste de Regressão:

    #!/bin/bash
    # Script de simulação para validação de detecção de URI CVE-2026-35273
    
    TARGET="http://<TARGET_IP>"
    ENDPOINTS=("/PSEMHUB/hub" "/PSIGW/HttpListeningConnector")
    
    echo "[+] Iniciando simulação de acesso a URI CVE-2026-35273..."
    
    for uri in "${ENDPOINTS[@]}"
    do
        echo "[*] Enviando solicitação para: $uri"
        # Usamos -v para ver os cabeçalhos, embora o SIEM apenas precise da entrada de log
        curl -s -v "$TARGET$uri" -o /dev/null
        echo "[+] Solicitação enviada."
    done
    
    echo "[+] Simulação completa. Verifique o SIEM para alertas que correspondem aos URIs."
  • Comandos de Limpeza:

    # Nenhuma mudança persistente é feita por esta simulação;
    # no entanto, limpe os logs de acesso do servidor web se estiver testando em um ambiente destrutivo.
    # Para Linux:
    # sudo truncate -s 0 /var/log/apache2/access.log