Oracle 旗下 PeopleSoft 正面临一场比普通漏洞通报更棘手的安全事件。Google Mandiant 称,勒索组织 ShinyHunters 自 5 月 27 日起利用 CVE-2026-35273,盯上约 300 个端点、约 100 家使用 PeopleSoft 的组织,并将窃取的数据用于勒索。
这个漏洞 CVSS 评分为 9.8,类型是服务器端请求伪造(SSRF),可远程利用。关键问题不在于“又一个高危漏洞”被披露,而在于攻击已经发生两周以上,Oracle 目前发布的是临时缓解措施,原始报道称尚未完整修补。
ShinyHunters 把 PeopleSoft 变成数据入口
Mandiant 的说法显示,这次攻击不是零星试探。ShinyHunters 利用 PeopleSoft 漏洞做侦察,读取配置,查看 Process Scheduler 和 WebLogic 服务器 XML 配置,再为数据外传铺路。
| 项目 | 当前信息 | 判断 |
|---|---|---|
| 漏洞 | CVE-2026-35273,SSRF,CVSS 9.8 | 已达到企业级应急响应级别 |
| 攻击者 | ShinyHunters,自 2019 年以来活跃 | 不是研究员验证,而是勒索组织实战利用 |
| 影响面 | 约 300 个端点、约 100 家组织被盯上 | 不能等同于 100 家全部失陷 |
| 厂商处置 | Oracle 发布临时缓解措施 | 正式补丁缺位时,窗口期仍在 |
SSRF 的危险在于,它常常借受害服务器自己的“身份”向内部系统发请求。对 PeopleSoft 这类承载人事、财务、学生信息的系统来说,漏洞一旦被利用,攻击者拿到的往往不是边角数据,而是组织运行多年沉积下来的高价值资料。
数据外泄链条已经跑通,高校压力最大
攻击者留下的脚本显示,数据曾被 zstd 压缩,并通过出站 SSH 连接传至 176.120.22.24。Mandiant 称该 IP 与 ShinyHunters 的数据泄露站点有关。泄露站点还声称从单个受害者处取得 48GB 数据。
受影响组织中约 68% 来自高等教育领域。诺丁汉大学已经确认,一起数据安全事件导致大量学生和校友数据受损。对高校 IT 团队而言,这类系统很难像互联网业务那样快速下线重构:招生、学籍、校友、薪酬和身份系统常年相互连接,停机本身也会带来管理成本。
这和 2023 年 MOVEit Transfer 被 Clop 大规模利用有相似处:攻击者不一定追求长期潜伏,而是抓住企业级软件的集中部署和高数据密度,快速批量拿数据,再用公开泄露施压。区别在于 PeopleSoft 更贴近组织内部核心流程,排查范围可能比单一文件传输系统更复杂。
PeopleSoft 用户现在要查的是“是否外传”,不只是“有没有补丁”
对企业和高校安全团队来说,等待正式补丁不是完整答案。当前应优先对照 Mandiant、Rapid7 发布的 IOC,检查 PeopleSoft、WebLogic、Process Scheduler 相关日志,以及是否存在异常出站 SSH、zstd 压缩包、可疑暂存目录和对内部配置文件的批量读取。
还要把受影响判断降到具体数据层:哪些学生、校友、员工或供应商记录可能被访问;是否包含身份证明、联系方式、财务或账号恢复信息;如果泄露站开始发布样本,通知对象和法律义务会立刻从技术问题变成组织治理问题。
接下来最该观察两件事:Oracle 何时发布完整补丁,以及已被盯上的约 100 家组织中,究竟有多少出现确认入侵和数据外泄。前者决定窗口期多久,后者决定这起事件是局部灾难,还是又一次企业软件批量勒索样本。