谷歌证实ShinyHunters利用Oracle PeopleSoft零日漏洞窃取数据

黑客组织ShinyHunters利用Oracle PeopleSoft中的一个严重零日漏洞，在五月下旬至六月初期间入侵了逾百家机构，其中高校受灾最为严重——大量学生记录遭到泄露，此后Oracle才发布了紧急安全公告。

漏洞详情与攻击活动

Oracle于6月10日针对CVE-2026-35273发布了带外安全警报。该漏洞是PeopleSoft Enterprise PeopleTools 8.61和8.62版本中的一个远程代码执行缺陷，CVSS评分高达9.8。此漏洞存在于Updates Environment Management组件中，无需身份验证，无需用户交互，仅需通过HTTP进行网络访问即可实现对系统的完全控制。

Mandiant与谷歌威胁情报小组确认，被内部追踪为UNC6240的黑客组织ShinyHunters在5月27日至6月9日期间利用了该漏洞。谷歌已向逾100个系统与受漏洞影响的端点相匹配的组织发出通知，其中68%属于高等教育机构，且大多数位于美国。ShinyHunters声称已攻击约300个部署于云端及本地环境的PeopleSoft实例。

Mandiant首席技术官Charles Carmakal证实了该漏洞已遭在野利用。Trend Micro旗下的零日计划（Zero Day Initiative）——Oracle致谢的漏洞报告方——则向SecurityWeek表示，目前"正观察到有限范围内的漏洞利用活动"，相关调查仍在进行中。

诺丁汉大学成为受害者之一

诺丁汉大学证实其已遭到入侵。一位发言人告诉《The Register》："诺丁汉大学成为了一起网络安全事件的受害者，我们学生记录系统中的大量数据已被一个知名网络犯罪组织访问。"

ShinyHunters声称窃取了约40 GB的数据，其中包括账单记录、信用卡信息及学生财务资料。数据泄露通知服务"Have I Been Pwned"已将此次泄露的数据集添加至其数据库，并报告称约454,600个唯一电子邮件地址遭到泄露，同时曝光的信息还包括姓名、地址、电话号码、种族、残疾状况及护照号码。

无完整补丁情况下的缓解措施

Oracle尚未发布完整补丁。其官方指导建议：在多服务器环境中禁用Environment Management Hub服务，或在单服务器部署中移除PSEMHUB应用程序。对于无法执行上述操作的组织，应在网络边界处封锁对 /PSEMHUB/* 和 /PSIGW/HttpListeningConnector 端点的外部访问。Mandiant警告称，单纯依赖Web应用防火墙规则并不足够，因为这些规则可被绕过。

安全研究人员建议立即排查以下异常情况：对受影响端点发起的外部POST请求、Web应用目录中出现的可疑 .jsp 文件，以及PeopleSoft主机向外发起的445端口SMB流量。