Oracle выпустила экстренные меры защиты от CVE-2026-35273 — это критическая уязвимость PeopleSoft с оценкой 9,8 по CVSS, которая позволяет выполнить код удаленно без авторизации. Для компаний, где PeopleSoft до сих пор отвечает за HR, финансы, студенческие сервисы и внутренние процессы, история неприятная: дыру уже используют в реальных атаках на кражу данных, а полноценного патча на момент публикации еще нет.
Проблема затрагивает Oracle PeopleSoft PeopleTools 8.61 и 8.62, а также может затронуть клиентов Oracle PeopleSoft Enterprise Applications, сообщает BleepingComputer. По данным Oracle, атакующему не нужна аутентификация: достаточно добраться до уязвимого внешнего интерфейса, после чего эксплуатация может закончиться удаленным выполнением кода на сервере. Для enterprise-системы, которая часто висит на стыке интернета и внутренних бизнес-процессов, это почти худший сценарий.
Отдельный дискомфорт в том, что речь не о теоретической находке исследователей и не о баге, который успели тихо залатать до первых инцидентов. Раскрытие CVE-2026-35273 последовало после сообщений о волне атак, в которых злоумышленники оставляли записки от имени ShinyHunters. Эта группа давно работает по понятной и болезненной для бизнеса схеме: получает доступ к SaaS и корпоративным платформам, вытаскивает массивы данных и затем требует выкуп, угрожая публичной утечкой. За последний год ее связывали с атаками на Snowflake, Salesforce и интеграционные платформы, через которые проходит большой объем корпоративной информации.
По данным BleepingComputer, сами ShinyHunters подтвердили свою причастность к атакам на PeopleSoft и заявили, что использовали цепочку из старых и zero-day-уязвимостей. Злоумышленники утверждают, что смогли украсть данные из 300 инстансов более чем у 100 организаций. Такие цифры стоит воспринимать осторожно: это слова атакующей стороны, а не независимый аудит. Но даже без полной верификации масштаб выглядит серьезно, особенно если учесть специфику PeopleSoft: в таких системах обычно лежат не случайные логи и тестовые таблицы, а кадровые, финансовые и операционные данные, которые потом годами всплывают в утечках и мошеннических схемах.
Дополнительную техническую картину дала Mandiant. Исследователи подтвердили, что CVE-2026-35273 эксплуатировалась как zero-day, причем основной мишенью стал образовательный сектор. После обнаружения активного сканирования и эксплуатации компания уведомила более 100 организаций по всему миру, чьи IP-адреса коррелировали с потенциально уязвимыми конечными точками. Большинство этих организаций находились в США, и 68% из них относились к сегменту высшего образования. Это хорошо объясняет выбор цели: университеты и колледжи держат огромные массивы персональных данных, часто работают на сложном легаси-стеке и не всегда успевают быстро закрывать внешние сервисы.
Из опубликованных деталей видно, что атака не ограничивалась простым проникновением на веб-узел. По данным Mandiant, злоумышленники использовали выделенные staging-серверы для размещения HTTP-сервисов, а для связи с собственной инфраструктурой применяли кастомные агенты удаленного управления MeshCentral, маскируя управляющие узлы под сервисы Microsoft Azure. После закрепления в системе они проводили разведку, изучали конфигурации PeopleSoft и WebLogic, а затем использовали скрипты для бокового перемещения по внутренней сети с применением украденных или жестко зашитых учетных данных. Уже после этого данные архивировались и отправлялись на сервер, который связывают с публичной площадкой утечек ShinyHunters. Для защитников это важный сигнал: взлом PeopleSoft здесь работает не как единичный инцидент, а как стартовая точка для движения внутрь инфраструктуры.
Есть и вполне прикладные индикаторы компрометации. Mandiant советует ограничить доступ к уязвимым PeopleSoft-эндпоинтам, проверить логи на подозрительные запросы к /PSEMHUB/ и /PSIGW/HttpListeningConnector, а также искать неожиданные .jsp-вебшеллы в каталогах приложений WebLogic. Отдельно стоит проверить наличие посторонних файлов и бинарников в папках транзакций PSEMHUB, подозрительных директорий вроде logs, persistantstorage или scratchpad, а также недавно измененных XML-файлов, которые могут использоваться для сохранения доступа или повторного запуска эксплуатации после рестарта. Иными словами, простое применение mitigation без форензики здесь рискованно: если сервер уже вскрыли, закрыть вход недостаточно.
Для русскоязычной IT-аудитории эта история важна не только как еще один сюжет про западный enterprise. PeopleSoft по-прежнему живет в международных компаниях, университетах, аутсорсинговых структурах и крупных организациях со старыми ERP- и HRM-контурaми. Проблема знакома многим: система формально поддерживается, бизнес на нее завязан, а реальная поверхность атаки постепенно превращается в музей компромиссов между интеграциями, внешним доступом и нехваткой ресурсов на модернизацию. Уязвимость PeopleSoft в таком контексте опасна не только сама по себе, но и как напоминание, что легаси-платформы с публичным доступом давно стали любимой точкой входа для вымогателей и групп, специализирующихся на краже данных.
Отдельный контекст добавляет недавняя атака на Instructure Canvas, которую тоже связывали с ShinyHunters: тогда злоумышленники получили 280 млн записей о студентах, преподавателях и сотрудниках, а компания, по данным источника, выплатила выкуп, чтобы предотвратить публикацию украденного. На этом фоне атаки на PeopleSoft выглядят не исключением, а продолжением стратегии: бить по системам, где хранится максимум чувствительных данных, а цена простоя и утечки слишком высока для спокойного торга. Вопрос теперь не только в том, насколько быстро Oracle выпустит полноценный патч, но и в том, сколько организаций успеют понять, что mitigation и закрытый порт еще не означают, что злоумышленник уже ушел из сети.
The post Oracle закрывает zero-day в PeopleSoft после атак ShinyHunters appeared first on iTech News.