這是一起典型的針對企業級 ERP 系統的零日漏洞攻擊事件。所謂的零日漏洞 Zero-Day,是指漏洞被發現並被利用,但軟體廠商尚未發布修補程式的狀態。這次的攻擊者是惡名昭彰的勒索團體 ShinyHunters,他們利用了 Oracle PeopleSoft 中的一個高危險漏洞 CVE-2026-35273,導致大量教育機構遭受數據外洩。
對於初入行的工程師來說,理解這次攻擊的關鍵在於漏洞的性質以及攻擊者的橫向移動路徑。
漏洞核心與影響範圍
這次被利用的漏洞位於 PeopleSoft Enterprise PeopleTools 的環境管理中心 Environment Management Hub(簡稱 PSEMHUB)。該漏洞被定義為遠端程式碼執行 RCE,也就是攻擊者不需要任何帳號密碼,也不需要受害者的任何操作,只要能透過 HTTP 網路存取該服務,就能直接在伺服器上執行任意指令。
在安全評分中,其 CVSS 分數高達 9.8 分,屬於極高風險。受影響的版本包括 PeopleTools 8.61 與 8.62,甚至更早的舊版本也可能存在風險。
攻擊者的作法與手法
這次攻擊之所以被揭發,是因為攻擊者在部署工具時過於粗心,將自己的暫存伺服器直接暴露在網路上。安全研究人員發現了幾個執行 Python SimpleHTTP 伺服器的 IP,裡面竟然包含了攻擊者的操作紀錄與工具。
從這些外洩的資料中,我們可以還原出攻擊者的攻擊鏈。首先,他們利用 RCE 漏洞進入伺服器,接著部署偽裝成 Microsoft Azure 二進位檔的 MeshCentral 遠端管理代理程式,用來維持對受害機器的控制。
接著是橫向移動 Lateral Movement,這是攻擊者進入內網後,試圖從一台機器跳轉到另一台機器的過程。他們使用了一個名為 fanout.sh 的腳本,透過 SSH 嘗試對內網主機進行暴力破解,使用預設或常用的帳號密碼組合。一旦成功進入,他們會在目錄下留下一個標記檔案,告知受害者已被駭客入侵。
最後,攻擊者使用 zstd 壓縮工具將竊取的數據打包,並透過 SSH 傳輸到他們的洩漏網站伺服器。
實務上的防禦與偵測建議
面對這種等級的漏洞,單靠 WAF 網頁應用程式防火牆的內容檢查是不夠的,因為經驗豐富的攻擊者可以輕易繞過規則。
短期緩解措施
如果無法立即更新補丁,最有效的做法是從網路層級阻斷存取。建議直接禁用 Environment Management Hub 服務,或者在單一伺服器環境中直接移除 PSEMHUB 應用程式。若必須保留該功能,請在邊界防火牆封鎖所有對 /PSEMHUB/* 與 /PSIGW/HttpListeningConnector 的外部存取。
如何檢查是否已被入侵
工程師在檢查伺服器時,應重點關注以下跡象:
第一,檢查 WebLogic 存取日誌,尋找來自外部且指向 /PSEMHUB/hub 的 POST 請求。
第二,檢查檔案系統。在 PSEMHUB.war 目錄下是否出現不尋常的 .jsp 檔案,或者出現名為 logs、persistantstorage 或 scratchpad 的異常資料夾。
第三,檢查 XML 設定檔。注意 web doc root 下 envmetadata/data/environment 的 XML 檔案是否有近期變動,因為攻擊者可能利用 XMLDecoder 達成持久化 Persistence,讓系統在重啟後依然能被控制。
第四,監控網路流量。檢查 PeopleSoft 主機是否向外部發起異常的 SMB 流量(Port 445),這可能是攻擊者在嘗試擷取 NetNTLM 雜湊值以進行身分偽裝。
總結與觀點
ShinyHunters 過去傾向於使用社交工程、盜用 Token 或利用 SaaS 平台的弱控管來獲取數據。然而,這次直接利用地端 ERP 軟體的零日漏洞,顯示其攻擊能力正在提升,目標已從簡單的雲端應用轉向數據密度更高的企業核心系統。這提醒我們,即便是在內網運行的 legacy 系統,只要對外開放了特定接口,就必須視同處於公網環境而採取最嚴格的零信任存取控制。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。