SOC Prime Bias: Критичний

15 Jun 2026 16:03 UTC

CVE-2026-35273: Oracle PeopleSoft Нульовий День, Експлуатований у Дикій Природі

Author Photo
SOC Prime Team linkedin icon Стежити
CVE-2026-35273: Oracle PeopleSoft Нульовий День, Експлуатований у Дикій Природі
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Критична вразливість нульового дня в компоненті Управління Оновленнями Oracle PeopleSoft активно експлуатується для віддаленого виконання коду. Проблема класифікується як вразливість типа Підробка Запиту на Боці Сервера і може бути використана неавторизованими зловмисниками для компрометації відкритих систем. Діяльність пов’язана з фінансово мотивованою загрозовою групою ShinyHunters.

Розслідування

Mandiant спостерігав активну експлуатацію з 27 травня по 9 червня 2026 року, до того як Oracle випустила свій консультативний документ з безпеки. Їх розслідування показало, що нападники націлювалися на PSEMHUB ендпоінти для отримання можливості віддаленого виконання коду та розгортання агентів MeshCentral для підтримки стійкого дистанційного доступу. Вища освіта була основним фокусом кампанії, і дослідники відзначили суттєву крадіжку даних під час інфільтрацій.

Послаблення загроз

Організації повинні терміново застосувати патч Oracle поза планом для версій PeopleTools 8.61 та 8.62. Додаткові кроки безпеки включають відключення служби Environment Management Hub та блокування зовнішнього доступу до /PSEMHUB/* and /PSIGW/HttpListeningConnector. Також рекомендується моніторинг вихідного трафіку SMB через порт 445 до ненадійних призначень як компенсуючий контроль.

Відповідь

Якщо підозрюється експлуатація, організації повинні розслідувати компрометацію навіть після застосування патчів. Пріоритетними перевірками повинні стати несподівані .jsp файли, неавторизовані каталоги в межах PSEMHUB шляхів, і вихідні з’єднання SMB до зовнішніх IP-адрес. Команди безпеки також повинні шукати маскування агента MeshCentral та перевіряти метадані довкілля для неавторизованих змін XML файлів.

Потік атаки

Виконання симуляції

Передумова: перевірка телеметрії та базової лінії повинна бути успішною.

Пояснення: Цей розділ деталізує точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та наратив МАЮТЬ напряму відображати ідентифіковані TTP та прагнути генерувати exact телеметрію, очікувану правилом виявлення. Абстрактні або не пов’язані приклади призведуть до неправильного діагнозу.

  • Наратив атаки та команди: Противник проводить автоматизоване сканування для виявлення вразливих інстанцій Oracle PeopleSoft. Їх мета – ідентифікувати цілі, вразливі до CVE-2026-35273. Вони надішлють спеціально сформовані HTTP GET запити до ідентифікованих чутливих шляхів URI. Якщо сервер відповідає HTTP 200 ОК або помилкою 500 (замість 404), противник підтверджує наявність застосунку та продовжує з експлуатаційним пейлоадом.

  • Сценарій регресійного тесту:

    #!/bin/bash
    # Сценарій симуляції для перевірки виявлення URI CVE-2026-35273
    
    TARGET="http://<TARGET_IP>"
    ENDPOINTS=("/PSEMHUB/hub" "/PSIGW/HttpListeningConnector")
    
    echo "[+] Початок симуляції доступу до URI CVE-2026-35273..."
    
    for uri in "${ENDPOINTS[@]}"
    do
        echo "[*] Надсилання запиту до: $uri"
        # Ми використовуємо -v для перегляду заголовків, хоча SIEM потрібен лише запис журналу
        curl -s -v "$TARGET$uri" -o /dev/null
        echo "[+] Запит надіслано."
    done
    
    echo "[+] Симуляція завершена. Перевірте SIEM на наявність сповіщень, що відповідають URI."
  • Команди очищення:

    # Стійкі зміни цією симуляцією не вносяться; 
    # однак, очистіть журнали доступу вебсерверу, якщо тестуєте в деструктивному середовищі.
    # Для Linux:
    # sudo truncate -s 0 /var/log/apache2/access.log