全球最活躍的勒索軟體組織之一利用甲骨文(Oracle)PeopleSoft軟體套件中的一個嚴重漏洞,對約100家客戶發起攻擊,並向至少一名受害者實施勒索,以不公開竊取數據為條件索取贖金。研究人員對此發出警告。
該組織被追蹤標記為ShinyHunters,在甲骨文對該漏洞發出警示之前,已持續利用這一PeopleSoft漏洞超過兩周。該漏洞編號為CVE-2026-35273,嚴重性評分高達9.8分(滿分10分),是今年以來遭到實際利用的最高危漏洞之一,此前一直以零日漏洞形式存在。
谷歌旗下的Mandiant安全團隊指出,該漏洞屬於SSRF(服務端請求偽造)類型,攻擊者可藉此從存在缺陷的伺服器向目標機構內部系統發送請求。甲骨文確認該SSRF漏洞可被遠程利用,目前已發布臨時緩解措施,但尚未推出完整補丁。谷歌亦證實,已有受害者收到勒索要求。
英國諾丁漢大學於周三正式確認遭到網路入侵,大量學生數據落入攻擊者之手,並將事件性質定性為"重大"安全事件。此前,ShinyHunters宣稱該大學是其近期攻擊目標之一,並公開了據稱在此次入侵中竊取的數GB數據。
Mandiant表示,ShinyHunters自5月27日起便開始利用上述漏洞。截至周三,該組織已針對100家用戶機構的約300個端點發起攻擊,其中約68%的受害機構來自高等教育領域。一名研究人員於周二指出,攻擊方"暴露了多個目錄,揭示了對PeopleSoft系統持續進行定向攻擊的行為"。攻擊者還留下了一台包含攻擊工具的臨時伺服器,處於可訪問狀態。
"儘管部分機構成功阻斷了攻擊活動或修復了漏洞,但仍有機構遭到入侵,導致數據被發布至ShinyHunters的數據泄露站點(DLS)。"Mandiant在聲明中表示。
對臨時伺服器中遺留的一段bash腳本進行分析後發現,攻擊者對被入侵機構實施了系統偵察,包括探測PeopleSoft配置資訊、查看進程調度器及WebLogic伺服器的XML配置文件。隨後,攻擊者建立了一條指向IP位址176.120.22.24的出站SSH連接——該地址正是託管ShinyHunters數據泄露站點的伺服器。被盜數據在傳輸前先使用zstd工具進行壓縮。據該數據泄露站點披露,僅一名受害者就有48GB數據遭到竊取。
ShinyHunters至少自2019年起便已活躍至今,多年來對全球多家大型企業發動了大規模網路攻擊,波及數以百萬計的下游用戶。已知受害方包括:票務平台Ticketmaster(通過入侵託管其數據的Snowflake)、西班牙最大銀行桑坦德銀行(Santander)以及Salesforce(並藉此波及谷歌及據報道的其他多家企業)。ShinyHunters採用多種手段獲取初始訪問權限,包括利用雲端配置錯誤、軟體漏洞、竊取OAuth令牌、供應鏈攻擊、語音網路釣魚及其他社會工程學手段。
Mandiant與Rapid7目前正提供詳細的入侵指標資訊,並就PeopleSoft用戶應立即採取的應對措施給出具體建議。鑑於ShinyHunters的高攻擊成功率,所有PeopleSoft用戶均應高度重視相關安全警示。
Q&A
Q1:CVE-2026-35273漏洞是什麼類型的漏洞,危害有多大?
A:CVE-2026-35273是甲骨文PeopleSoft軟體中的一個SSRF(服務端請求偽造)漏洞,嚴重性評分為9.8分(滿分10分)。該漏洞可被遠程利用,攻擊者可藉此從存在缺陷的伺服器向目標機構內部系統發起請求,進而竊取數據並實施勒索。目前甲骨文已發布臨時緩解措施,但尚未發布完整補丁。
Q2:ShinyHunters主要攻擊了哪些行業和機構?
A:根據Mandiant的數據,ShinyHunters利用PeopleSoft漏洞已針對約100家用戶機構的300個端點發起攻擊,其中約68%的受害機構來自高等教育領域。英國諾丁漢大學已公開確認遭到入侵,大量學生數據被竊。此外,歷史上ShinyHunters還曾攻擊過Ticketmaster、桑坦德銀行、Salesforce等大型企業。
Q3:PeopleSoft用戶應該如何應對此次漏洞威脅?
A:建議所有PeopleSoft用戶立即參考Mandiant與Rapid7發布的入侵指標(IoC)資訊,核查自身系統是否已遭入侵。同時,應儘快應用甲骨文發布的臨時緩解措施,密切關注官方補丁的發布動態,並對網路流量和SSH出站連接進行嚴格監控,防止數據外泄。
