ShinyHunters利用Oracle PeopleSoft零日漏洞攻击高校，高校如何应对？

近期，ShinyHunters黑客组织利用Oracle PeopleSoft中的一个未修复零日漏洞（CVE-2026-35273）发起大规模网络攻击，受害者主要为高校等教育机构。该漏洞允许攻击者在无需登录、无需用户交互的情况下，仅通过HTTP网络访问即可实现远程代码执行，风险等级极高。攻击活动发生在5月27日至6月9日期间，而Oracle直到6月10日才发布安全公告，这意味着漏洞在公开前已被广泛利用。对于高校和其他使用Oracle PeopleSoft的组织而言，这一事件凸显了零日漏洞的严重威胁，以及快速响应和防护措施的重要性。

零日漏洞CVE-2026-35273：无需权限即可远程控制

CVE-2026-35273是一个远程代码执行漏洞，存在于Oracle PeopleSoft Enterprise PeopleTools的Updates Environment Management组件中。该漏洞的CVSS评分为9.8（满分10），风险极高。攻击者无需用户名、密码或任何交互操作，仅需通过HTTP网络访问即可发起攻击。这意味着，只要环境管理中心（PSEMHUB）对外暴露，攻击者就能轻松接管服务器。

根据Oracle的安全公告，受影响的PeopleTools版本包括8.61和8.62，而更早的未支持版本可能也存在相同漏洞。Oracle将该漏洞的发现归功于趋势科技旗下的Zero Day Initiative和TrendAI Research的研究人员。Mandiant首席技术官Charles Carmakal也证实，该漏洞已在野外被实际利用。然而，Oracle尚未明确表示是否已看到相关攻击活动。目前，官方仅提供了补丁可用性文档，但具体修复进展尚不明确，各机构仍需以减轻风险为先。

ShinyHunters的攻击流程与工具链

ShinyHunters（Mandiant追踪代号为UNC6240）在攻击中展现了高度的组织性和技术成熟度。研究人员发现，攻击者在攻击后遗留了多个暴露的服务器，其中包含Python的SimpleHTTP服务器（端口8888）。这些服务器上存储了大量攻击痕迹文件，包括共享的.bash_history、伪装成Microsoft Azure二进制文件的自定义MeshCentral远程管理代理，以及横向移动脚本。

攻击者使用的域名azurenetfiles.net模仿Azure NetApp Files，以混淆视听。横向移动脚本[victim]_fanout.sh通过SSH在内部网络中传播，利用硬编码的用户名和密码列表对/etc/hosts中的主机进行暴力破解。此外，攻击者在PeopleSoft目录中留下了名为README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT的标记文件，以确认入侵范围。数据窃取阶段，攻击者使用zstd压缩窃取的数据，并通过SSH连接到ShinyHunters泄露网站的公共镜像服务器进行外传。

高校为何成为主要目标？

高校成为ShinyHunters攻击的重点目标，原因有几个关键因素。首先，高校通常拥有大量敏感数据，包括学生和教职工的个人信息、研究成果、财务记录等，这些数据在黑市上具有极高的价值。其次，高校的网络环境相对复杂，涉及多个系统、部门和用户群体，安全防护措施往往参差不齐，存在大量暴露在互联网上的服务端点。此外，高校的IT团队通常面临预算和人员限制，难以及时跟进最新的安全补丁和威胁情报。

根据Mandiant的调查，攻击者在5月27日至6月9日期间对超过100个组织进行了入侵尝试，其中高校占据了相当大的比例。这表明攻击者可能已经对高校的IT架构和安全状况进行了前期侦察，并制定了针对性的攻击策略。对于高校而言，这一事件再次提醒他们需要加强网络安全防护，特别是对关键业务系统的保护。

立即行动：高校如何应对零日漏洞威胁？

面对CVE-2026-35273这样的零日漏洞，高校和其他使用Oracle PeopleSoft的组织必须立即采取行动，减少风险暴露。首先，组织应检查并关闭所有公开暴露的环境管理端点，特别是PSEMHUB组件。如果该组件必须对外提供服务，应立即部署网络层面的访问控制措施，例如防火墙规则、VPN或零信任网络架构，限制访问来源和范围。

其次，组织应密切关注Oracle的官方补丁发布情况，并优先为受影响的PeopleTools版本安装补丁。由于官方补丁可能需要支持登录才能访问，高校IT团队应及时联系Oracle支持渠道获取补丁。在补丁安装前，组织可考虑临时禁用受影响的功能模块，或部署WAF（Web应用防火墙）规则，阻断已知的攻击模式。此外，组织还应审查并加固内部网络的横向移动防护措施，例如限制SSH访问、禁用默认凭据、实施多因素认证等。

攻击溯源与威胁情报：如何识别潜在入侵？

对于已遭受攻击或疑似受害的高校，Mandiant等威胁情报机构提供了多个线索，可用于识别潜在入侵。例如，攻击者在攻击中使用了伪装成Microsoft Azure二进制文件的MeshCentral远程管理代理，这些文件通常存储在特定目录中，并通过Python SimpleHTTP服务器对外提供。此外，横向移动脚本[victim]_fanout.sh会在内部网络中留下标记文件README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT，这是一个明显的入侵指标。

高校IT团队可通过以下方式开展威胁狩猎活动：检查网络流量中的异常SSH连接，特别是对外连接到azurenetfiles.net域名或其他可疑IP地址；审查服务器日志中的异常命令执行记录，特别是涉及zstd压缩或数据外传的操作；以及搜索内部网络中的标记文件或可疑二进制文件。此外，组织还可利用EDR（端点检测与响应）工具，部署自定义检测规则，识别攻击者的横向移动行为。

长期防护：建立主动安全运营能力

零日漏洞的威胁无法完全避免，但高校可以通过建立主动安全运营能力，降低潜在影响。首先，组织应建立完善的资产管理和漏洞管理流程，定期扫描和评估所有对外暴露的服务端点，确保及时发现和修复安全漏洞。其次，高校应加强安全监控和事件响应能力，部署SIEM（安全信息与事件管理）系统，实现对网络流量和系统日志的集中分析和关联检测。

此外，高校还应定期开展安全培训和演练，提升IT团队和用户的安全意识。例如，通过模拟攻击演练，让IT团队熟悉零日漏洞的响应流程；通过安全培训，提醒用户避免使用弱密码、定期更换密码等基本安全措施。最后，高校应与外部威胁情报机构和安全社区保持密切合作，及时获取最新的威胁情报和防护建议，提升整体安全防护水平。

对Oracle与供应链安全的启示

ShinyHunters对Oracle PeopleSoft零日漏洞的利用，也暴露了供应链安全的脆弱性。作为企业级软件提供商，Oracle需要在漏洞发现后更快地发布安全公告和补丁，并确保补丁的易获取性。此外，Oracle应考虑在产品设计阶段引入更多的安全默认配置，例如关闭不必要的对外端点、加强默认凭据的安全性等，以降低用户的配置负担。

对于使用Oracle PeopleSoft的高校和企业，供应链安全同样重要。组织应建立供应商安全管理流程，定期评估第三方软件的安全状况，并及时跟进供应商发布的安全补丁。此外，组织还可考虑部署零信任架构，通过微隔离和持续认证，降低供应链攻击的风险。

结论：零日漏洞下的安全韧性

ShinyHunters利用Oracle PeopleSoft零日漏洞发起的攻击，再次提醒我们零日漏洞的严重威胁。对于高校等教育机构而言，这一事件不仅是一次网络攻击，更是对安全运营能力的一次考验。高校必须立即采取行动，关闭暴露的端点、安装官方补丁、加强监控和响应，并建立长期的主动安全运营能力。

零日漏洞无法完全避免，但通过主动的安全防护、及时的威胁响应和持续的安全改进，高校可以提升自身的安全韧性，降低潜在损失。未来，随着攻击手法的不断演进，高校和其他组织必须保持警惕，不断加强安全防护，才能在网络威胁日益严峻的环境下保持安全。