技術的な説明
Oracle PeopleSoft PeopleToolsに認証不備の脆弱性(CVSS 9.8)が含まれており、認証されていないリモート攻撃者がHTTPを介してPeopleSoftインスタンスを完全に制御できます。CISAはこれを2026年6月12日に既知の悪用脆弱性カタログに追加し、連邦対応期限を6月15日に設定しました。ShinyHunters(MandiantによってUNC6240として追跡)は、2026年5月27日から6月9日の間にこれをゼロデイとして悪用し、100以上の組織にまたがる300以上のPeopleSoftインスタンスを侵害しました。そのうち68%は高等教育機関です。Nottingham大学は454,600件の学生記録が盗まれたことを確認しました。Oracleは6月10日に緊急アドバイザリを発行し、パッチは間もなく提供される予定です。
攻撃経路
PeopleSoftのEnvironment Managementコンポーネントへの認証なしHTTPリクエスト。ShinyHuntersはCVE-2026-35273と既知の脆弱性を組み合わせた自動化された「ガジェットチェーン」ツールを開発し、大規模な悪用を可能にしました。横展開スクリプトはデフォルトPeopleSoftアカウント(psoft、oracle、linuxadm)での認証を試行します。
影響を受けるシステム
Oracle PeopleSoft PeopleToolsバージョン8.61および8.62(およびサポート終了の可能性がある以前のバージョン)。エンタープライズ、大学、政府機関全体でHR、給与計算、学生記録、財政支援管理に使用されています。
緩和策
oracle.com/security-alerts/alert-cve-2026-35273.htmlに従い、Oracleの緊急マイテネーション対策を直ちに適用してください。連邦機関はCISA BOD 26-04に従い6月15日までに準拠する必要があります。ネットワークログに対してIOCリスト(azurenetfiles[.]net TLS証明書にリンクされたIPアドレス)をチェックしてください。完全なパッチまでの間、PeopleSoftのEnvironment Managementコンポーネントへのアクセスを内部ネットワークのみに制限してください。