SOC Prime Bias: Crítico

15 Jun 2026 16:03 UTC
newspaper icon Rapid7

CVE-2026-35273: Zero-Day do Oracle PeopleSoft Explorada na Natureza

Author Photo
SOC Prime Team linkedin icon Seguir
CVE-2026-35273: Zero-Day do Oracle PeopleSoft Explorada na Natureza
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Uma falha crítica de dia zero no componente de Gerenciamento de Ambiente de Atualizações do Oracle PeopleSoft está sendo explorada ativamente para execução remota de código. O problema é categorizado como uma vulnerabilidade de Server-Side Request Forgery e pode ser explorado por atacantes não autenticados para comprometer sistemas expostos. A atividade foi vinculada ao grupo de ameaças motivado financeiramente ShinyHunters.

Investigação

Mandiant observou exploração ativa de 27 de maio a 9 de junho de 2026, antes de a Oracle lançar seu aviso de segurança. Sua investigação mostrou que os atacantes estavam mirando PSEMHUB endpoints para obter execução remota de código e implantando agentes MeshCentral para manter acesso remoto persistente. O setor de educação superior foi um foco principal da campanha, e os pesquisadores notaram um roubo substancial de dados durante as intrusões.

Mitigação

As organizações devem aplicar urgentemente o patch fora do ciclo da Oracle para as versões 8.61 e 8.62 do PeopleTools. Passos defensivos adicionais incluem desativar o serviço Environment Management Hub e bloquear o acesso externo a /PSEMHUB/* and /PSIGW/HttpListeningConnector. Recomenda-se também monitorar o tráfego de SMB de saída pela porta 445 para destinos não confiáveis como um controle compensatório.

Resposta

Se a exploração for suspeita, as organizações devem investigar o comprometimento mesmo após a aplicação de patches. Os cheques prioritários devem incluir .jsp arquivos inesperados, diretórios não autorizados dentro de PSEMHUB caminhos, e conexões SMB de saída para endereços IP externos. As equipes de segurança também devem procurar por agentes MeshCentral mascarados e revisar diretórios de metadados do ambiente para mudanças não autorizadas em arquivos XML.

graph TB %% Seção de definição das classes classDef exploit fill:#ff9999 %% Vermelho para exploração e acesso inicial classDef credential fill:#ffff99 %% Amarelo para acesso a credenciais classDef persistence fill:#99ff99 %% Verde para persistência classDef recon fill:#99ccff %% Azul para reconhecimento e coleta classDef exfil fill:#cc99ff %% Roxo para exfiltração e movimentação de dados %% Definição dos nós exploit_ssrf[“<b>Ação</b> – <b>T1210 Exploração de Serviços Remotos</b><br/><b>Descrição</b>: Exploração de uma vulnerabilidade crítica de SSRF de dia zero<br/>no Oracle PeopleSoft Updates Environment Management.<br/><b>CVE</b>: CVE-2026-35273<br/><b>Resultado</b>: Execução remota de código”] class exploit_ssrf exploit action_smb_capture[“<b>Ação</b> – <b>T1212 SMB/Compartilhamentos Administrativos do Windows</b><br/><b>Descrição</b>: Criação de conexões SMB de saída para destinos externos<br/>para capturar hashes NetNTLM de contas de máquina do Windows.<br/><b>Objetivo</b>: Acesso a credenciais”] class action_smb_capture credential tool_meshcentral[“<b>Ferramenta</b> – <b>T1219 Software de Acesso Remoto</b><br/><b>Nome</b>: MeshCentral<br/><b>Descrição</b>: Implantação de agentes de gerenciamento remoto<br/>para manter persistência no ambiente.”] class tool_meshcentral persistence action_masquerade[“<b>Ação</b> – <b>T1651 Mascaramento</b><br/><b>Descrição</b>: Agentes MeshCentral se passam por<br/>serviços legítimos do Microsoft Azure para evitar detecção.”] class action_masquerade persistence action_valid_accounts[“<b>Ação</b> – <b>T1078 Contas Válidas</b><br/><b>Descrição</b>: Utilização de contas válidas para<br/>manter acesso contínuo e estabilidade.”] class action_valid_accounts persistence action_recon[“<b>Ação</b> – <b>Reconhecimento Interno</b><br/><b>Descrição</b>: Execução de varredura interna e<br/>coleta de dados de diversos bancos de dados.”] class action_recon recon action_db_gather[“<b>Ação</b> – <b>T1213.006 Dados de Repositórios de Informação: Bancos de Dados</b><br/><b>Descrição</b>: Coleta específica de dados<br/>de sistemas internos de bancos de dados.”] class action_db_gather recon action_compress[“<b>Ação</b> – <b>T1560.003 Dados Preparados: Compactar Arquivos</b><br/><b>Descrição</b>: Dados roubados são compactados usando zstd<br/>para facilitar o processo de coleta e exfiltração.”] class action_compress exfil action_exfil[“<b>Ação</b> – <b>T1560 Dados Preparados</b><br/><b>Descrição</b>: Coleta e preparação de dados compactados<br/>antes da exfiltração.”] class action_exfil exfil %% Conexões exploit_ssrf –>|leva_a| action_smb_capture action_smb_capture –>|permite| tool_meshcentral tool_meshcentral –>|utiliza| action_masquerade action_masquerade –>|é_apoiado_por| action_valid_accounts action_valid_accounts –>|permite| action_recon action_recon –>|leva_a| action_db_gather action_db_gather –>|resulta_em| action_compress action_compress –>|prepara| action_exfil

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação Pré-voo de Telemetria & Baseline deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica de adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa & Comandos de Ataque: O adversário está conduzindo uma varredura automatizada para identificar instâncias vulneráveis do Oracle PeopleSoft. Seu objetivo é identificar alvos suscetíveis ao CVE-2026-35273. Eles enviarão solicitações HTTP GET especificamente elaboradas para os caminhos URI sensíveis identificados. Se o servidor responder com um 200 OK ou Erro 500 (em vez de um 404), o adversário confirma a presença da aplicação e prossegue com a carga útil do exploit.

  • Script de Teste de Regressão:

    #!/bin/bash
# Script de simulação para validação de detecção de URI CVE-2026-35273

TARGET="http://<TARGET_IP>"
ENDPOINTS=("/PSEMHUB/hub" "/PSIGW/HttpListeningConnector")

echo "[+] Iniciando simulação de acesso a URI CVE-2026-35273..."

for uri in "${ENDPOINTS[@]}"
do
    echo "[*] Enviando solicitação para: $uri"
    # Usamos -v para ver os cabeçalhos, embora o SIEM apenas precise da entrada de log
    curl -s -v "$TARGET$uri" -o /dev/null
    echo "[+] Solicitação enviada."
done

echo "[+] Simulação completa. Verifique o SIEM para alertas que correspondem aos URIs."

  • Comandos de Limpeza:

    # Nenhuma mudança persistente é feita por esta simulação;
# no entanto, limpe os logs de acesso do servidor web se estiver testando em um ambiente destrutivo.
# Para Linux:
# sudo truncate -s 0 /var/log/apache2/access.log

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente