Oracle PeopleSoft 被指遭大規模攻擊,HR 同學生資料有幾高危?
Oracle 已出高危 PeopleTools 修補,IT 團隊要即刻查公開入口同 log
呢單要先分清楚兩樣嘢:一邊係黑客組織 ShinyHunters 對 TechCrunch 同 BleepingComputer 嘅說法,聲稱已入侵 100 多間機構嘅 Oracle PeopleSoft server,當中好多係大學;另一邊係 Oracle 喺 6 月 10 日發出 CVE-2026-35273 Security Alert,確認 PeopleSoft PeopleTools 有一個可經 HTTP、唔使登入利用嘅高危漏洞。兩者時間貼得好近,但未等於 Oracle 確認所有入侵都係由呢個 CVE 造成,呢點要講清楚。
PeopleSoft 其實係大機構用嚟跑核心流程嘅企業軟件,唔止一個 HR 系統咁簡單。Oracle 自己嘅產品頁列出 HCM、ERP、Campus Solutions 同 PeopleTools;即係薪酬、員工資料、財務、採購、學生註冊、成績、學費、行政批核都有機會連埋一齊。TechCrunch 引述黑客訊息話,外洩資料可能包括學生、申請人、financial aid、移民/簽證、健康同行政資料;FBI 5 月嘅提示亦講過,教育平台資料可以畀攻擊者包裝 spearphishing 同勒索訊息。
值得留意係,BleepingComputer 話 ShinyHunters 聲稱打中 300 個 instance、超過 100 個機構,仲話用咗舊漏洞同 zero-day 組成嘅 gadget chain,成功率可能同個別設定有關。呢種玩法好典型:攻擊者唔係逐間公司慢慢撞門,而係搵一套多人用、又經常對外開入口嘅企業系統,掃到一批設定合適嘅目標就一口氣偷資料。大型 ERP/校務系統最大弱點唔一定係冇人理,而係太多人靠佢開工,patch、停機、驗收全部都慢。
Oracle 嘅 Security Alert 就畀咗一個好清楚嘅紅燈:CVE-2026-35273 影響 PeopleSoft Enterprise PeopleTools 8.61 同 8.62,元件係 Updates Environment Management,CVSS 3.1 分數 9.8,官方描述係可經網上連線、唔使登入就 compromise PeopleTools,成功攻擊可令系統畀人接管。簡單講,管理員唔應該等受害名單曝光先做嘢;只要有公開 PeopleSoft / PeopleTools 入口,就要當高危系統處理。
IT 團隊而家應該查咩
- 盤點所有公開 PeopleSoft、PeopleTools、Campus Solutions 入口,尤其係測試、舊版、災備同供應商用嘅網址。
- 對照 Oracle Security Alert 同 My Oracle Support 文件,確認 PeopleTools 8.61 / 8.62 嘅 patch 或緩解措施;舊版同未受支援版本唔好當冇事。
- 翻查 web、app server、Process Scheduler、database、SSO/VPN、WAF log,留意異常 HTTP request、admin login、SSH 嘗試、新增檔案、奇怪 scheduled job。
- 用 BleepingComputer 列出嘅 IOC 做起點,但唔好只靠 IOC;同時查 PeopleSoft Query、報表、批量匯出、API、database dump 有冇突然大流量。
至於本地,暫時未見可信資料指香港機構喺今次攻擊入面受影響,唔應該亂點名。但公開資料顯示,本地院校亦有使用或曾使用 PeopleSoft / Campus Solutions 類系統,呢個已經足夠提醒大型機構:唔好等供應商、媒體或者黑客名單先推你郁。實際做法好直接:即刻收窄公開面、補 patch、留證據、做 hunt;有資料外流跡象,就照 incident response 流程通知法務、私隱專責同受影響人士。
參考來源
- TechCrunch — Cybercriminals claim breach of Oracle PeopleSoft servers at 100-plus organizations — original report
- Oracle PeopleSoft servers hacked in ShinyHunters data theft attacks — 最早報道之一,補充 300 個 instance、100 多間機構、IOC 同 log 檢查方向。
- Oracle Security Alert Advisory - CVE-2026-35273 — Oracle 官方安全公告,用嚟核對 PeopleTools 受影響版本、RCE 風險、CVSS 分數同修補入口。
- Oracle PeopleSoft Applications — Oracle 官方產品頁,用嚟交代 PeopleSoft 涵蓋 HCM、ERP、Campus Solutions 同 PeopleTools。
- FBI IC3 PSA: ShinyHunters Cyber Criminal Group Attacks Learning Management System — FBI 對 ShinyHunters 教育平台攻擊嘅提示,補充勒索、滋擾同 spearphishing 風險。
- HKUST ITSO: PeopleSoft Student Information System (SIS) — 本地院校使用 PeopleSoft SIS 嘅公開例子,只用嚟交代系統類型,唔代表今次受影響。
- CUHK CUSIS: About CUSIS — 本地院校曾公開提及以 Oracle PeopleSoft Campus Solutions 建立學生資訊系統,只作背景參考。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。
