Oracle PeopleSoft 零日漏洞畀黑客打穿逾百機構,IT 要即刻查版本同 IOC
CVE-2026-35273 可免登入 RCE,先封 PSEMHUB 再查 log
Oracle 呢次 PeopleSoft 安全警告,值得企業 IT 當即日事故處理,唔好當季度例行補丁。TechCrunch 報道指,ShinyHunters 聲稱已入侵逾百間用 Oracle PeopleSoft 嘅機構;Google/Mandiant 亦話已通知超過 100 間可能暴露系統嘅組織,當中 68% 屬高等教育界。暫時未見可靠公開資料話香港機構中招,但如果你公司有 PeopleSoft 對外 server,今晚就要開工。
影響範圍先搞清
呢個漏洞係 CVE-2026-35273,影響 Oracle PeopleSoft Enterprise PeopleTools 8.61、8.62,元件係 Updates Environment Management。Oracle 自己評 CVSS 9.8,重點係可經 HTTP/HTTPS、免登入利用,成功後可做到 remote code execution。PeopleSoft 通常管人事、薪酬、採購、財務或者學生行政,唔係一部冇人理嘅後台機咁簡單,一旦畀人入到,資料價值好高。
圖片:Google Cloud / Mandiant
攻擊點唔止一部 server
Mandiant 將呢次活動歸因到 UNC6240/ShinyHunters,觀察期由 2026 年 5 月 27 日去到 6 月 9 日,早過 Oracle 6 月 10 日 advisory,所以可以當 zero-day 處理。佢哋提到黑客針對 Environment Management Hub,即 PSEMHUB 相關 endpoint,之後用偽裝成 Azure 服務嘅 MeshCentral agent 做遠端控制,再橫向摸 PeopleSoft/WebLogic 設定。呢啲細節唔係畀人照抄攻擊,而係話畀防守隊知:淨係補主機唔夠,仲要查有冇已經入咗內網。
IT 今日要做咩
- 先盤點所有 PeopleTools 版本,特別係 8.61、8.62,同埋有冇測試、災備、vendor access server 暴露出街。
- 跟 Oracle Security Alert 入 My Oracle Support 查 PeopleSoft patch/mitigation 文件;可停就停 EMHub,多 server 架構停 EMHub Service,單 server 架構移除
PSEMHUBapp。 - 如果暫時唔停得,喺 firewall / reverse proxy 層封外部去
/PSEMHUB/*、/PSEMHUB/hub同/PSIGW/HttpListeningConnector,唔好淨係靠 WAF body inspection。 - 查 PIA WebLogic access log,有冇外部 IP 對上述 endpoint 做
POST;再查PSEMHUB.war底下有冇陌生.jsp、envmetadata/transactions/、logs、persistantstorage、scratchpad。 - 查 IOC:
142.11.200.186至142.11.200.190、azurenetfiles.net、meshagent32-azure-ops.exe、meshagent64-azure-ops.exe、meshagent64-v2.exe、README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT,同 PeopleSoft server 對外 TCP 445/SMB 流量。
香港公司點睇
香港金融、零售、物流、公營同大型教育機構未必全部用 PeopleSoft,但呢類 ERP/HR 系統好多時由舊項目、外判商同內部 team 一路交接落去,最易出現「以為冇對外,其實 proxy 開咗」嘅位。要查就唔好淨係問 app owner,仲要問網安、infra、WAF、SIEM 同供應商:邊個 URL 出街、邊個 VPN 可以入、邊部機已退役但 DNS 仲指住。
我嘅睇法好簡單:呢類企業軟件出 9.8 分免登入 RCE,又已經有勒索團伙聲稱大規模用緊,就唔應該等下一個 maintenance window。先封面向互聯網嘅管理入口,再做版本同 IOC hunting;如果撞到 IOC,就當成已入侵事件處理,隔離、保全 log、查資料外洩範圍,唔好以為「套咗 mitigation」就收工。
參考來源
- TechCrunch — Oracle warns of security bug that hackers abused to breach 100+ companies — original report
- Oracle Security Alert Advisory - CVE-2026-35273 — 官方 security alert,確認 CVE、影響版本、CVSS、可免登入經 HTTP 利用,同 mitigation 指引入口。
- Google Cloud / Mandiant: ShinyHunters Targets Education Sector with Oracle PeopleSoft Exploit — 主要威脅情報來源,提供活動時間線、PSEMHUB/PSIGW 緩解建議、log hunting 位同 IOC。
- BleepingComputer: Oracle PeopleSoft servers hacked in ShinyHunters data theft attacks — 補充早期入侵聲稱、受害範圍、公開 staging server 同部分 IOC 背景。
- NVD: CVE-2026-35273 Detail — CVE 資料庫條目,用嚟交叉核對影響版本、CVSS 9.8 同漏洞描述。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。
