Oracle PeopleSoft: критическая RCE через SSRF в PeopleTools
CVE-2026-35273: критическая уязвимость в Oracle PeopleSoft PeopleTools позволила атакующим проводить RCE без аутентификации
Oracle 10 июня 2026 года публично объявила о критической уязвимости CVE-2026-35273, выявленной в компоненте Updates Environment Management корпоративной системы Oracle PeopleSoft PeopleTools. Проблеме присвоен балл CVSSv3.1 9.8, а ее эксплуатация позволяет удаленному злоумышленнику без аутентификации добиться Remote Code Execution (RCE).
Уязвимость классифицируется как Server-Side Request Forgery (SSRF) и затрагивает версии PeopleTools 8.61 и 8.62. В день раскрытия Oracle выпустила внеплановый патч, однако к моменту публикации рекомендаций уже была зафиксирована активная эксплуатация уязвимости нулевого дня.
Что известно об эксплуатации
По данным Mandiant, атаки продолжались с 27 мая по 9 июня 2026 года, то есть начались еще до публичного объявления Oracle. Эксплуатация была приписана группировке UNC6240, также известной как ShinyHunters. По оценке исследователей, эта группа мотивирована финансовой выгодой и имеет устойчивую репутацию в кражах данных и взломах организаций в разных секторах.
Особенно часто под удар попадали учреждения высшего образования: 68% скомпрометированных организаций в этой кампании составили университеты и колледжи.
Ключевые векторы атаки
Эксплуатация была сосредоточена вокруг конечных точек Environment Management Hub (PSEMHUB). Технический анализ выделил две основные точки взаимодействия, использованные атакующими:
/PSEMHUB/hub/PSIGW/HttpListeningConnector
Цепочка эксплуатации потенциально могла приводить к исходящим SMB-соединениям на TCP port 445, что открывало злоумышленникам возможность перехватывать хеши NetNTLM учетных записей машин Windows.
Post-compromise: скрытное закрепление и эксфильтрация
После первоначальной компрометации атакующие, как правило, разворачивали агенты удаленного управления MeshCentral, маскируя их под сервисы Microsoft Azure. Такой подход позволял сохранять устойчивый доступ к инфраструктуре жертвы и выполнять дальнейшие действия внутри сети.
Среди типичных этапов post-compromise отмечались:
- внутренняя разведка;
- latеральное перемещение;
- эксфильтрация данных с использованием методов сжатия zstd.
Публикация украденных данных и инфраструктура кампании
Украденные в ходе кампании данные вскоре после периода эксплуатации были опубликованы на ShinyHunters Data Leak Site. Среди сетевых индикаторов, связанных с этой активностью, исследователи выделили несколько IP-адресов, а также домен управления azurenetfiles.net, который выдавал себя за легитимный сервис Microsoft Azure.
Рекомендации и инструменты обнаружения
Для организаций, использующих инструменты оценки уязвимостей, такие как Rapid7, аутентифицированные проверки, связанные с CVE-2026-35273, стали доступны вскоре после раскрытия информации об уязвимости. Кроме того, команды безопасности могут использовать ресурсы из Intelligence Hub от Rapid7, чтобы отслеживать актуальные сведения об этой угрозе, включая соответствующие indicators of compromise.
С учетом критичности CVE-2026-35273 организациям, эксплуатирующим Oracle PeopleSoft PeopleTools, необходимо незамедлительно проверить наличие патча, оценить возможные признаки компрометации и проанализировать сетевую активность, связанную с PSEMHUB и внешними соединениями на port 445.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
