PeopleSoft 零日漏洞：百所高校及企业沦陷，数据泄露与勒索风暴来袭

零日漏洞的定义与影响：为什么 CVSS 9.8 意味着“灾难性”

零日漏洞指的是在厂商知晓并发布修复方案之前，攻击者已经利用的安全缺陷。在本次事件中，PeopleSoft 系统中的 SSRF（服务器端请求伪造）漏洞被编号为 CVE-2026-35273，并获得了 9.8 分的极高评分。这意味着该漏洞不仅容易被远程利用，而且可能导致内部系统完全暴露。根据 CVSS 标准，9.8 分对应“关键”级别，通常用于描述那些能够在无需用户交互的情况下，直接入侵核心业务系统并窃取敏感数据的漏洞。

对高校和企业而言，PeopleSoft 系统通常用于管理学生、教职工和财务数据，一旦被突破，攻击者不仅能窃取数据，还能在系统内横向移动，进一步渗透内网。由于该漏洞可远程触发，攻击者无需物理访问即可发动攻击。这也解释了为什么在短短两周内，超过 100 个组织的约 300 个端点被波及。对于依赖该系统的机构来说，这不仅是一场数据泄露，更是一场潜在的运营危机。

勒索组织 ShinyHunters 的作案手法：从入侵到勒索

ShinyHunters 是一个知名的勒索组织，专门以窃取数据并进行勒索而闻名。根据 Google Mandiant 的调查，该组织早在 5 月 27 日就开始利用这一零日漏洞发动攻击。攻击者通过 SSRF 漏洞，从 PeopleSoft 服务器向内部其他系统发送伪造请求，从而绕过防火墙，获取对内网的访问权限。一旦进入内网，攻击者便能搜索并窃取敏感文件，包括学生记录、财务报表甚至员工个人信息。

在确认数据被窃取后，ShinyHunters 会向受害者发送勒索邮件，威胁如果不支付赎金，将公开泄露数据。这种“盗窃+勒索”的双重威胁模式，使得受害者面临更大的压力。例如，英国诺丁汉大学已确认其学生数据被泄露，而攻击者声称已窃取数 GB 的数据。对于高校来说，学生隐私泄露可能引发监管处罚和公众信任危机，而企业则可能面临合规风险和声誉损失。

Oracle 的响应：临时缓解 vs 正式补丁的缺失

Oracle 在获悉该漏洞后，迅速发布了临时缓解措施，但尚未提供正式的安全补丁。这意味着，尽管用户可以通过配置变更或网络隔离来降低风险，但仍无法完全消除被攻击的可能性。对于企业和高校而言，这无疑是一个棘手的局面：如果等待正式补丁，可能需要数周甚至数月时间，而在此期间，攻击者仍可能继续利用该漏洞。

业界普遍认为，零日漏洞的修复通常需要厂商进行深度代码审计和测试，而 PeopleSoft 作为一款历史悠久的企业管理软件，其代码库复杂，补丁发布周期较长。Oracle 表示正在加紧开发修复方案，但没有给出具体的发布时间表。这意味着受害者必须在缺乏永久解决方案的情况下，依赖临时措施来保护系统。

高校成重灾区：学生数据泄露的连锁反应

根据 Mandiant 的统计，约 68% 的受害组织来自高等教育领域。高校之所以成为攻击目标，主要是因为其 PeopleSoft 系统中存储着大量敏感数据，包括学生的学业成绩、财务援助信息、医疗记录甚至社保号码。这些数据不仅对勒索组织具有高价值，还可能被用于身份盗用或敲诈勒索。

诺丁汉大学的案例表明，一旦数据被泄露，受害者除了面临勒索威胁，还可能面临监管机构的调查。英国《通用数据保护条例》（GDPR）规定，机构必须在 72 小时内报告数据泄露事件，否则将面临高额罚款。此外，高校还需考虑学生和家长的信任危机，这可能影响未来的招生和捐赠。对于其他教育机构而言，这一事件敲响了警钟：必须尽快评估自身系统的暴露风险，并考虑采用替代方案或加固措施。

SSRF 漏洞的技术细节：为什么它如此危险？

SSRF 漏洞允许攻击者从受害服务器发送伪造的 HTTP、HTTPS 或其他协议请求到内部系统。在 PeopleSoft 的场景中，攻击者可以利用该漏洞绕过防火墙，直接访问内网中的数据库、文件服务器甚至管理后台。由于 PeopleSoft 通常与其他企业系统（如财务、HR）集成，一次成功的 SSRF 攻击可能导致整个业务系统被渗透。

更危险的是，SSRF 漏洞的触发条件通常较为简单，攻击者只需构造特定的 URL 或参数即可发动攻击。在本次事件中，ShinyHunters 可能通过 PeopleSoft 的 Web 界面输入恶意请求，从而触发 SSRF 漏洞。这意味着，即使系统配置了防火墙和入侵检测系统，也可能无法阻止此类攻击。因此，企业必须考虑在应用层面进行额外的防护，例如限制内部服务的访问权限或部署零信任架构。

受害者该如何应对：从发现到恢复的完整路径

对于已经遭受攻击或担心被攻击的组织，第一步是确认系统是否已被入侵。企业可以通过检查 PeopleSoft 日志中的异常请求、监控网络流量或部署 SIEM（安全信息与事件管理）系统来发现潜在的攻击行为。如果发现可疑活动，应立即隔离受影响的服务器，并启动事件响应流程。

第二步是评估数据泄露的范围。组织需要确定哪些数据被窃取，包括学生记录、员工信息或财务文件。这不仅有助于向监管机构报告，也能帮助制定后续的补救措施。例如，诺丁汉大学可能需要通知受影响的学生和教职工，并提供信用监控服务。此外，组织还应考虑是否向执法部门报案，以便追踪攻击者。

最后，组织需要制定长期的安全策略。这包括及时安装 Oracle 发布的正式补丁、加固网络架构、实施多因素身份验证以及定期进行安全审计。对于高校而言，可能还需要考虑迁移到更现代化的学生管理系统，以避免类似漏洞的重复出现。无论如何，这次事件表明，仅依赖供应商的补丁是不够的，机构必须主动采取预防措施。

供应链风险与长期影响：PeopleSoft 生态的隐忧

PeopleSoft 诞生于上世纪 80 年代，最初由 PeopleSoft 公司开发，后被 Oracle 收购。尽管经过多年更新，但其核心架构仍然保留了大量旧有代码，这使得新漏洞的出现成为可能。本次零日漏洞的曝光，再次凸显了传统企业软件在安全性方面的薄弱环节。对于依赖该系统的机构而言，这不仅是一场技术危机，更是一场供应链风险。

长期来看，高校和企业可能需要重新评估对 PeopleSoft 的依赖程度。一些机构可能选择迁移到云端 SaaS 解决方案，如 Workday 或 Salesforce，这些平台通常具备更完善的安全防护机制和定期更新机制。而对于无法立即迁移的机构，则需要加强对 PeopleSoft 的安全监控，并考虑部署额外的安全工具，如 Web 应用防火墙（WAF）或 API 网关，以减少 SSRF 等漏洞的暴露面。

此外，零日漏洞的频繁出现也提醒我们，软件供应商需要在开发阶段就引入安全编码实践，例如使用静态应用安全测试（SAST）和动态应用安全测试（DAST）工具。Oracle 此次的临时缓解措施虽然有效，但无法根治问题。只有通过持续的安全改进，才能避免类似事件再次发生。

政策与监管：数据泄露后的合规压力

对于受到影响的高校和企业，除了技术层面的应对，还需要考虑合规和法律层面的问题。在欧盟，GDPR 要求机构在发现数据泄露后的 72 小时内向监管机构报告，否则将面临高达全球年营业额 4% 的罚款。而在美国，不同州的数据泄露法规各异，但普遍要求受影响的个人必须被通知。这意味着，受害机构不仅需要承担经济损失，还可能面临法律诉讼和监管处罚。

此外，随着勒索软件攻击的日益猖獗，各国政府也在加强对网络安全的监管。例如，美国总统拜登于 2021 年签署了《网络安全执法法案》，授权联邦机构对关键基础设施的网络安全进行监督。这意味着，未来可能有更多的合规要求被纳入，企业和高校必须提前做好准备，以避免因违规而遭受更大的损失。

如何防范类似攻击：企业与高校的实用清单

面对零日漏洞的威胁，机构可以采取以下措施来降低风险：

1. 及时评估暴露面：使用资产发现工具识别所有运行 PeopleSoft 的系统，并检查是否已暴露在互联网上。对于不必要的公开端口，应立即关闭。
2. 部署网络分段：将 PeopleSoft 系统与其他内部网络隔离，限制其访问权限。例如，只允许特定 IP 段访问该系统。
3. 加强监控与日志分析：部署 SIEM 系统，实时监控异常流量和登录行为。对于 SSRF 漏洞，可以重点关注来自 Web 服务器的内部请求。
4. 实施零信任架构：假设网络内部也存在威胁，要求所有访问请求都必须经过身份验证和授权。这可以有效阻止横向移动攻击。
5. 制定事件响应计划：提前准备好应对数据泄露的流程，包括通知受影响用户、与执法部门合作以及恢复系统。
6. 考虑迁移或替代方案：如果 PeopleSoft 的安全风险持续存在，机构可以评估迁移到更现代化的系统，例如云端的人力资源管理软件。

通过这些措施，机构可以在等待正式补丁的同时，最大限度地降低被攻击的风险，并减少潜在的损失。

未来展望：零日漏洞的常态化与安全意识的觉醒

零日漏洞并非新鲜事物，但近年来其频率和影响力不断上升。随着数字化转型的推进，企业和高校对信息系统的依赖日益加深，攻击者也将目光投向了更多的传统软件。PeopleSoft 零日漏洞事件再次提醒我们，没有系统是绝对安全的，唯有持续的安全投入和风险意识才能降低威胁。

对于供应商而言，这意味着需要在安全开发流程中投入更多资源，例如引入 DevSecOps 实践，将安全性纳入开发的每一个阶段。而对于用户机构，则需要转变观念，从“等待补丁”转向“主动防护”。只有通过技术、流程和人员的协同努力，才能在零日漏洞的常态化时代中保持安全。

这场风暴远未结束。随着攻击者继续寻找新的突破口，机构必须时刻保持警惕，并为下一次安全挑战做好准备。