CVE-2026-35273: Zero-Day do Oracle PeopleSoft Explorada na Natureza
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
Uma falha crítica de dia zero no componente de Gerenciamento de Ambiente de Atualizações do Oracle PeopleSoft está sendo explorada ativamente para execução remota de código. O problema é categorizado como uma vulnerabilidade de Server-Side Request Forgery e pode ser explorado por atacantes não autenticados para comprometer sistemas expostos. A atividade foi vinculada ao grupo de ameaças motivado financeiramente ShinyHunters.
Investigação
Mandiant observou exploração ativa de 27 de maio a 9 de junho de 2026, antes de a Oracle lançar seu aviso de segurança. Sua investigação mostrou que os atacantes estavam mirando PSEMHUB endpoints para obter execução remota de código e implantando agentes MeshCentral para manter acesso remoto persistente. O setor de educação superior foi um foco principal da campanha, e os pesquisadores notaram um roubo substancial de dados durante as intrusões.
Mitigação
As organizações devem aplicar urgentemente o patch fora do ciclo da Oracle para as versões 8.61 e 8.62 do PeopleTools. Passos defensivos adicionais incluem desativar o serviço Environment Management Hub e bloquear o acesso externo a /PSEMHUB/* and /PSIGW/HttpListeningConnector. Recomenda-se também monitorar o tráfego de SMB de saída pela porta 445 para destinos não confiáveis como um controle compensatório.
Resposta
Se a exploração for suspeita, as organizações devem investigar o comprometimento mesmo após a aplicação de patches. Os cheques prioritários devem incluir .jsp arquivos inesperados, diretórios não autorizados dentro de PSEMHUB caminhos, e conexões SMB de saída para endereços IP externos. As equipes de segurança também devem procurar por agentes MeshCentral mascarados e revisar diretórios de metadados do ambiente para mudanças não autorizadas em arquivos XML.
Fluxo de Ataque
Detecções
Possível Tentativa de Instalação de Software RMM do Agente Mesh (via registry_event)
Ver
Possível Tentativa de Uso do Utilitário MeshAgent (via process_creation)
Ver
IOCs (HashSha256) para detectar: Exploração Ativa do Zero-Day do Oracle PeopleSoft (CVE-2026-35273)
Ver
IOCs (SourceIP) para detectar: Exploração Ativa do Zero-Day do Oracle PeopleSoft (CVE-2026-35273)
Ver
IOCs (DestinationIP) para detectar: Exploração Ativa do Zero-Day do Oracle PeopleSoft (CVE-2026-35273)
Ver
Detectar Exploração do Zero-Day do Oracle PeopleSoft CVE-2026-35273 [Servidor Web]
Ver
Detecção de Exploração Ativa do Zero-Day do Oracle PeopleSoft CVE-2026-35273 [Firewall]
Ver
Execução de Simulação
Pré-requisito: A Verificação Pré-voo de Telemetria & Baseline deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica de adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa & Comandos de Ataque: O adversário está conduzindo uma varredura automatizada para identificar instâncias vulneráveis do Oracle PeopleSoft. Seu objetivo é identificar alvos suscetíveis ao CVE-2026-35273. Eles enviarão solicitações HTTP GET especificamente elaboradas para os caminhos URI sensíveis identificados. Se o servidor responder com um 200 OK ou Erro 500 (em vez de um 404), o adversário confirma a presença da aplicação e prossegue com a carga útil do exploit.
-
Script de Teste de Regressão:
#!/bin/bash # Script de simulação para validação de detecção de URI CVE-2026-35273 TARGET="http://<TARGET_IP>" ENDPOINTS=("/PSEMHUB/hub" "/PSIGW/HttpListeningConnector") echo "[+] Iniciando simulação de acesso a URI CVE-2026-35273..." for uri in "${ENDPOINTS[@]}" do echo "[*] Enviando solicitação para: $uri" # Usamos -v para ver os cabeçalhos, embora o SIEM apenas precise da entrada de log curl -s -v "$TARGET$uri" -o /dev/null echo "[+] Solicitação enviada." done echo "[+] Simulação completa. Verifique o SIEM para alertas que correspondem aos URIs." -
Comandos de Limpeza:
# Nenhuma mudança persistente é feita por esta simulação; # no entanto, limpe os logs de acesso do servidor web se estiver testando em um ambiente destrutivo. # Para Linux: # sudo truncate -s 0 /var/log/apache2/access.log