Что изменилось#
С 27 мая по 9 июня 2026 года зафиксирована активная эксплуатация CVE-2026-35273 в развертываниях Oracle PeopleSoft до выхода публичного уведомления Oracle. Это zero-day против публично доступных интерфейсов Environment Management Hub (PSEMHUB).
Mandiant и Google Threat Intelligence Group (GTIG) связали активность с UNC6240 (ShinyHunters), описав сценарий, соответствующий вторжению с последующим вымогательством. После выявления сканирования и эксплуатации более 100 организаций были уведомлены на основе сопоставления с уязвимыми IP-адресами. Значительная доля целей пришлась на сектор высшего образования США — около 68% выявленных организаций.
Дополнительные сообщения в X, включая анализ @nahamike01, раскрыли каталоги на инфраструктуре злоумышленников в staging-сегменте. Это позволило уточнить этапы их работы: от перечисления систем до подготовки к извлечению данных.
CVE-2026-35273
Критическая уязвимость удалённого выполнения кода (CVSS 9.8) в Oracle PeopleSoft Environment Management. Эксплуатация возможна через доступные интерфейсы администрирования, особенно при открытых PSEMHUB.
Почему это важно#
ERP-системы вроде PeopleSoft находятся в центре идентификационных данных, расчёта зарплат, студенческих данных и внутренней финансовой инфраструктуры. При компрометации слоя Environment Management атакующий получает доступ к управлению системой без необходимости повышать привилегии на уровне приложения.
Высокая концентрация в образовании объясняется архитектурой: разнородные ERP-ландшафты, устаревшие системы, распределённое администрирование и часто открытые интерфейсы управления.
Модель атаки соответствует типовой цепочке современных кампаний вымогательства:
- первичная эксплуатация открытых management endpoint
- быстрая разведка и перечисление директорий
- подготовка среды для извлечения данных
- внешнее давление через угрозу публикации данных
Аналитические модели риска совпадают с исследованиями GigaTap:
https://gigatap.top/en/articles/open-source-security-needs-more-than-code
И с анализом роли тестового покрытия и патч-дисциплины:
https://gigatap.top/en/articles/100-package-test-coverage-is-the-point-not-the-slogan
Что проверить#
Командам безопасности в окружениях Oracle PeopleSoft необходимо разделять статус патча и фактическую экспозицию.
Проверки:
- доступность интерфейсов Environment Management Hub извне
- логи за период 27 мая – 9 июня 2026 на признаки сканирования и аномального доступа
- наличие неожиданных директорий на staging и deployment узлах
- аудит административных действий в компонентах управления ERP
| Состояние | Интерпретация риска | Приоритет |
|---|---|---|
| PSEMHUB доступен извне | высокая вероятность эксплуатации zero-day | немедленное реагирование |
| доступ только внутри сети | сниженный, но сохраняющийся риск | проверка целостности |
| патч после 10 июня | риск зависит от предшествующего доступа | форензика |
Сопоставление временных окон критично: оно определяет, является ли патч профилактикой или только основой для расследования.
Дополнительная модель зависимости рисков:
https://gigatap.top/en/articles/openssfs-april-signal-make-security-artifacts-operational
Чего не следует утверждать#
Отнесение к UNC6240 (ShinyHunters) основано на инфраструктурных сигналах и поведенческих паттернах. Это практическая атрибуция для анализа кампании, а не абсолютное подтверждение идентичности.
Нет подтверждений, что все затронутые организации подверглись извлечению данных. Уведомления о более чем 100 организациях отражают потенциальное совпадение с уязвимостью, а не подтверждённый масштаб компрометации.
Классификация zero-day связана с моментом выхода уведомления Oracle и не означает длительную скрытую эксплуатацию до 27 мая.
FAQ#
Это была пост-патч атака?
Нет. Эксплуатация происходила до публикации Oracle от 10 июня, то есть в период отсутствия публичного патча.
Почему пострадали в основном университеты?
Большое количество внедрений PeopleSoft, широкие зоны доступа к административным интерфейсам и медленные циклы обновлений.
Основной вектор атаки?
Открытые PSEMHUB интерфейсы Environment Management Hub, позволяющие эксплуатацию CVE-2026-35273.