技术说明
Oracle PeopleSoft PeopleTools包含一个缺失的身份验证漏洞(CVSS 9.8),允许未经身份验证的远程攻击者通过HTTP完全控制PeopleSoft实例。CISA于2026年6月12日将其添加到已知被利用的漏洞目录中,联邦修复截止日期为6月15日。ShinyHunters(由Mandiant追踪为UNC6240)在2026年5月27日至6月9日期间将其作为零日漏洞进行利用,入侵了100多个组织中的300多个PeopleSoft实例——其中68%在高等教育机构中。诺丁汉大学证实了454,600条学生记录被盗。Oracle于6月10日发布了带外通知;预计补丁即将发布。
攻击途径
对PeopleSoft环境管理组件的未认证HTTP请求。ShinyHunters开发了自动化的"小工具链"工具,将CVE-2026-35273与先前已知的漏洞相结合,实现规模利用。横向移动脚本尝试使用默认PeopleSoft帐户(psoft、oracle、linuxadm)进行身份验证。
受影响系统
Oracle PeopleSoft PeopleTools版本8.61和8.62(以及可能更早的不受支持的版本)。全球范围内用于企业、大学和政府机构的HR、工资单、学生记录和财政援助管理。
缓解措施
根据oracle.com/security-alerts/alert-cve-2026-35273.html立即应用Oracle的带外缓解措施。联邦机构必须按照CISA BOD 26-04在6月15日前遵守。检查IOC列表(与azurenetfiles[.]net TLS证书相关的IP地址)针对网络日志。在完全补丁待命期间,将PeopleSoft的环境管理组件限制为内部网络访问。