CVE-2026-35273: Oracle PeopleSoft Нульовий День, Експлуатований у Дикій Природі

SOC Prime Team

Стежити

CVE-2026-35273: Oracle PeopleSoft Нульовий День, Експлуатований у Дикій Природі

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Критична вразливість нульового дня в компоненті Управління Оновленнями Oracle PeopleSoft активно експлуатується для віддаленого виконання коду. Проблема класифікується як вразливість типа Підробка Запиту на Боці Сервера і може бути використана неавторизованими зловмисниками для компрометації відкритих систем. Діяльність пов’язана з фінансово мотивованою загрозовою групою ShinyHunters.

Розслідування

Mandiant спостерігав активну експлуатацію з 27 травня по 9 червня 2026 року, до того як Oracle випустила свій консультативний документ з безпеки. Їх розслідування показало, що нападники націлювалися на PSEMHUB ендпоінти для отримання можливості віддаленого виконання коду та розгортання агентів MeshCentral для підтримки стійкого дистанційного доступу. Вища освіта була основним фокусом кампанії, і дослідники відзначили суттєву крадіжку даних під час інфільтрацій.

Послаблення загроз

Організації повинні терміново застосувати патч Oracle поза планом для версій PeopleTools 8.61 та 8.62. Додаткові кроки безпеки включають відключення служби Environment Management Hub та блокування зовнішнього доступу до /PSEMHUB/* and /PSIGW/HttpListeningConnector. Також рекомендується моніторинг вихідного трафіку SMB через порт 445 до ненадійних призначень як компенсуючий контроль.

Відповідь

Якщо підозрюється експлуатація, організації повинні розслідувати компрометацію навіть після застосування патчів. Пріоритетними перевірками повинні стати несподівані .jsp файли, неавторизовані каталоги в межах PSEMHUB шляхів, і вихідні з’єднання SMB до зовнішніх IP-адрес. Команди безпеки також повинні шукати маскування агента MeshCentral та перевіряти метадані довкілля для неавторизованих змін XML файлів.

graph TB %% Розділ визначення класів classDef exploit fill:#ff9999 %% Червоний для експлуатації та початкового доступу classDef credential fill:#ffff99 %% Жовтий для доступу до облікових даних classDef persistence fill:#99ff99 %% Зелений для закріплення classDef recon fill:#99ccff %% Синій для розвідки та збору classDef exfil fill:#cc99ff %% Фіолетовий для ексфільтрації та переміщення даних %% Визначення вузлів exploit_ssrf[“Дія – T1210 Експлуатація віддалених служб Опис: Експлуатація критичної SSRF-вразливості нульового дня в Oracle PeopleSoft Updates Environment Management. CVE: CVE-2026-35273 Результат: Віддалене виконання коду”] class exploit_ssrf exploit action_smb_capture[“Дія – T1212 SMB/Windows Admin Shares Опис: Створення вихідних SMB-з’єднань до зовнішніх призначень для отримання NetNTLM-хешів облікових записів машин Windows. Мета: Доступ до облікових даних”] class action_smb_capture credential tool_meshcentral[“Інструмент – T1219 Програмне забезпечення віддаленого доступу Назва: MeshCentral Опис: Розгортання агентів віддаленого керування для підтримання присутності в середовищі.”] class tool_meshcentral persistence action_masquerade[“Дія – T1651 Маскування Опис: Агенти MeshCentral маскуються під легітимні служби Microsoft Azure для уникнення виявлення.”] class action_masquerade persistence action_valid_accounts[“Дія – T1078 Дійсні облікові записи Опис: Використання дійсних облікових записів для підтримання постійного доступу та стабільності.”] class action_valid_accounts persistence action_recon[“Дія – Внутрішня розвідка Опис: Виконання внутрішнього сканування та збір даних із різних баз даних.”] class action_recon recon action_db_gather[“Дія – T1213.006 Дані з інформаційних сховищ: Бази даних Опис: Цілеспрямований збір даних із внутрішніх систем баз даних.”] class action_db_gather recon action_compress[“Дія – T1560.003 Підготовка даних: Стиснення файлів Опис: Викрадені дані стискаються за допомогою zstd для спрощення процесу збору та ексфільтрації.”] class action_compress exfil action_exfil[“Дія – T1560 Підготовлені дані Опис: Збір і підготовка стиснених даних перед ексфільтрацією.”] class action_exfil exfil %% З’єднання exploit_ssrf –>|призводить_до| action_smb_capture action_smb_capture –>|дозволяє| tool_meshcentral tool_meshcentral –>|використовує| action_masquerade action_masquerade –>|підтримується| action_valid_accounts action_valid_accounts –>|дозволяє| action_recon action_recon –>|призводить_до| action_db_gather action_db_gather –>|призводить_до| action_compress action_compress –>|готує| action_exfil

Потік атаки

Наратив атаки та команди: Противник проводить автоматизоване сканування для виявлення вразливих інстанцій Oracle PeopleSoft. Їх мета – ідентифікувати цілі, вразливі до CVE-2026-35273. Вони надішлють спеціально сформовані HTTP GET запити до ідентифікованих чутливих шляхів URI. Якщо сервер відповідає HTTP 200 ОК або помилкою 500 (замість 404), противник підтверджує наявність застосунку та продовжує з експлуатаційним пейлоадом.

Сценарій регресійного тесту:

#!/bin/bash
# Сценарій симуляції для перевірки виявлення URI CVE-2026-35273

TARGET="http://<TARGET_IP>"
ENDPOINTS=("/PSEMHUB/hub" "/PSIGW/HttpListeningConnector")

echo "[+] Початок симуляції доступу до URI CVE-2026-35273..."

for uri in "${ENDPOINTS[@]}"
do
    echo "[*] Надсилання запиту до: $uri"
    # Ми використовуємо -v для перегляду заголовків, хоча SIEM потрібен лише запис журналу
    curl -s -v "$TARGET$uri" -o /dev/null
    echo "[+] Запит надіслано."
done

echo "[+] Симуляція завершена. Перевірте SIEM на наявність сповіщень, що відповідають URI."

Команди очищення:

# Стійкі зміни цією симуляцією не вносяться; 
# однак, очистіть журнали доступу вебсерверу, якщо тестуєте в деструктивному середовищі.
# Для Linux:
# sudo truncate -s 0 /var/log/apache2/access.log

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно