6 月 12 日,SecurityWeek 報導 Google Mandiant 與 GTIG 正式證實:Oracle 本週以 out-of-band 安全警報處理的 CVE-2026-35273,早在揭露前就被 ShinyHunters(Google 追蹤代號 UNC6240)當零日實戰利用。這是一個 CVSS 9.8 的未認證遠端程式碼執行漏洞——不用帳號、不用使用者互動,一個能打到 HTTP 介面的網路請求就能接管伺服器。震撼點在於:Oracle 至今只發布了緩解措施,補丁還沒有。
技術上,漏洞位於 PeopleSoft Enterprise PeopleTools 8.61 與 8.62(含 PeopleSoft Enterprise Applications)。攻擊鏈是一條 gadget chain:串接舊已知漏洞與這個未揭露的零日,從暴露在公網的 PeopleSoft 入口直接走到 RCE;拿到立足點後,攻擊者部署偽裝成合法雲端端點的客製 MeshCentral 遠端管理代理,再用一支名為 [受害者縮寫]_fanout.sh 的腳本做橫向移動與置換頁面。PoC 尚未公開,但攻擊已是現在進行式。
範圍量化:Mandiant 觀測到的利用活動橫跨 5 月 27 日至 6 月 9 日;Google 已通知超過 100 個可能暴露的組織,68% 屬高等教育;ShinyHunters 自稱打了約 100 個組織的 300 個實例,英國諾丁漢大學是第一個證實的受害者,竊得資料 6 月 9 日已上其資料外洩網站。時間軸殘酷:從攻擊開始(5/27)到 Oracle 發出警報(6/10),防守方整整裸奔了兩週。
為什麼要在 24 小時內動手:沒有補丁可等,你唯一能做的就是立刻套用緩解措施並縮小暴露面。下面給出具體動作。
技術細節:漏洞類型 + 攻擊路徑
類型上這是未認證 RCE,入口是 PeopleSoft 的 HTTP 服務介面;無需權限、無需互動、network 向量可達。攻擊路徑四步:對公網暴露的 PeopleSoft 入口發送特製 HTTP 請求 → 經 gadget chain 取得程式碼執行 → 植入 MeshCentral agent 維持存取 → 以 fanout.sh 腳本批次橫移、竊資料、置換頁面。受影響版本明確:PeopleTools 8.61、8.62。教育機構之所以重災,是因為校務系統慣性地把註冊、繳費入口直接放上公網。
三類讀者的立刻行動
- 系統管理員:立即套用 Oracle Security Alert 的緩解措施;盤點所有 PeopleSoft 入口的公網暴露,立刻收進 VPN 或 IP 允許清單之後;以 5/27 起的紀錄回查 MeshCentral 相關連線與不明 shell script。
- 開發者:就算你不跑 PeopleSoft,原則一樣——後台與 ERP 入口不該裸奔。Nginx 反向代理最小防線:
# 後台/ERP 入口只允許辦公室與 VPN 網段
location /admin/ {
allow 203.0.113.0/24; # office
allow 10.8.0.0/16; # vpn
deny all;
}- 接案商/顧問:發客戶通告,主旨「你有沒有任何管理後台直接暴露在公網?」附上免費的攻擊面盤點清單;這次的教訓對所有客製系統客戶都成立。
補丁 vs 緩解措施對照
| 項目 | 狀態 | 動作 |
|---|---|---|
| 官方補丁 | 尚未釋出 | 訂閱 Oracle 警報頁,補丁出來 24 小時內上 |
| 官方緩解措施 | 已釋出(Security Alert) | 立即套用,這是目前唯一的第一道防線 |
| 網路層緩解 | 可自行實施 | 入口收進 VPN/allowlist、WAF 規則攔異常 POST |
| 偵測回查 | 可自行實施 | 回查 5/27 起的 log:MeshCentral、*_fanout.sh |
IOC 與威脅情資
- 偽裝成合法雲端端點的客製 MeshCentral agent(合法工具被武器化)
- 檔名模式 [victim_abbreviation]_fanout.sh 的橫移/置換腳本
- 5 月 27 日至 6 月 9 日間對 PeopleSoft HTTP 入口的異常請求
- 完整 IOC 清單見 Google Cloud Threat Intelligence 部落格
不會告訴你的事
- Oracle 至今未公開承認漏洞已遭利用——是 Google 替它說的。廠商公告的措辭永遠落後於威脅情資,只看原廠通知的團隊這兩週都在裸奔。
- 「緩解措施」不是修復:gadget chain 裡的其他環節是否還有未揭露漏洞,沒人保證;通報者 TrendAI 也說調查仍在進行。把緩解當補丁,是下一次事故的開場白。
這代表的更大趨勢
從「發現→利用」到「廠商知情→公告」的時間差正在反轉:攻擊者先打兩週,防守方才拿到第一份官方文件。「等 patch window」的營運模式已不適用於暴露在公網的企業系統——攻擊面管理(不暴露)的優先級,正式高過修補速度。
常見問題 FAQ
我們不用 PeopleSoft,這篇跟我有關嗎?
有。核心教訓是「公網暴露的後台 + 廠商零日」這個組合對任何 ERP/CMS/客製後台都成立。今天就盤點:哪些管理入口能從咖啡廳的 Wi-Fi 打開?
套了緩解措施就安全了嗎?
只能說「降低了已知攻擊路徑的風險」。在補丁釋出前,應同步做暴露面收斂與 5/27 起的入侵痕跡回查,三件事缺一不可。
怎麼判斷自己有沒有中鏢?
回查網頁伺服器 log 中對 PeopleSoft 入口的異常 POST、主機上的不明 MeshCentral 程序、*_fanout.sh 檔案,以及對外的不明遠端管理流量;中任何一項就啟動事故應變。
為什麼大學是重災區?
校務系統天然要對學生開放(選課、繳費),入口暴露面大、補丁窗口又受學期制約束;ShinyHunters 專挑流程上「不能說關就關」的目標。
我的觀點
主流結論會是「快補丁、快盤點」,我的 contrarian 判斷是:這次事件宣告「補丁中心主義」破產。當攻擊先於公告兩週、公告先於補丁不知多少週,企業安全的主指標不該再是「補丁套用速度」,而是「不可暴露面積」——任何不需要公網的入口暴露一天,就是把命運交給廠商的 SDLC 一天。對 ScriptWalker 的客戶看護機會:把「攻擊面盤點」做成季度服務——掃描客戶所有對外入口、產出暴露清單與收斂建議書;這次 PeopleSoft 事件就是最好的開場白與案例素材。
資料來源
- Oracle Security Alert — CVE-2026-35273
- Google Cloud Threat Intelligence — ShinyHunters Targets Education Sector
- NVD — CVE-2026-35273
- SecurityWeek — Google Confirms Exploitation of Oracle PeopleSoft Zero-Day(2026-06-12)
- The Register — ShinyHunters hacked 100+ orgs via PeopleSoft 0-day
- Help Net Security — Oracle PeopleSoft servers under attack