2026年6月13日,一个让企业IT管理者难以安睡的消息浮出水面:Google Mandiant 确认,勒索组织 ShinyHunters 已自5月27日起,规模化实战利用 Oracle PeopleSoft 中的一个 CVSS 9.8 级别零日漏洞,CVE-2026-35273。截至报道时,攻击已持续约两周半,盯上约 100 家组织、300 个端点,68% 的受害方来自高等教育行业。值得注意的是,Oracle 目前仅发布了临时缓解措施,正式补丁尚未到位——这就是说,所有运行 PeopleSoft 的企业、高校、政府机构,在过去两周里,可能都已经处在"被动挨打"的状态。
一、漏洞本身:CVE-2026-35273 是什么?
根据公开披露,CVE-2026-35273 是一个服务器端请求伪造(SSRF,Server-Side Request Forgery)类别的漏洞,CVSS 评分高达 9.8 分(严重级别),可远程利用,无需本地访问权限。SSRF 漏洞的可怕之处在于:攻击者不是直接攻击你的服务器,而是让服务器自己向内网发起请求——这相当于让门卫误以为攻击者是楼里的住户,主动替他打开了内部通道。
具体到 PeopleSoft 场景,攻击者可以借助 SSRF 漏洞:
- 读取 PeopleSoft 自带的 WebLogic 服务器 XML 配置文件——里面包含数据库连接字符串、加密密钥、监听端口等敏感信息
- 读取 Process Scheduler(进程调度器)的配置——这是 PeopleSoft 中负责后台任务调度的核心组件
- 基于上述配置进行内网横向探测,进一步定位人事、财务、招生等高价值数据所在位置
一旦攻击者拿到了 WebLogic 的配置和凭证,剩下能做的事情就只剩下"按图索骥"了——这和 2023 年 MOVEit Transfer 被 Clop 勒索组织利用时的逻辑高度相似,但 PeopleSoft 比文件传输系统更贴近组织核心业务,数据密度更高、停机代价更大、修复难度也更高。
二、攻击组织 ShinyHunters 是谁?
ShinyHunters 自 2019 年起持续活跃,是勒索即服务(Ransomware-as-a-Service)领域的老牌玩家。和很多传统勒索组织偏好"加密锁机、索要赎金"不同,ShinyHunters 的核心打法是数据窃取 + 公开泄露施压:先潜入系统、批量下载数据,然后把数据挂在公开的泄露站点上,倒逼受害方就范。
在本次事件中,Mandiant 观察到的攻击链非常清晰:
- 利用 SSRF 漏洞进入 PeopleSoft 环境
- 读取 WebLogic / Process Scheduler 配置文件完成侦察
- 批量访问内部高价值数据库(学生信息、员工档案、财务数据等)
- 使用 zstd 压缩数据,便于大批量传输
- 通过出站 SSH 连接外传到攻击者控制的服务器(已知 IP:
176.120.22.24) - 将数据上传到 ShinyHunters 的公开泄露站点,以公开泄露为筹码进行勒索
Mandiant 报告中的单一受害者最大泄露量达 48 GB——这不是一次"擦边球"式的入侵,而是一场有组织、有预谋的批量数据窃取行动。
三、为什么高校是重灾区?
Mandiant 数据显示,68% 的受害组织来自高等教育行业。已公开确认受害的英国诺丁汉大学,大量学生及校友数据受损,包括但不限于:
- 学生个人信息(姓名、学号、联系方式、成绩)
- 校友信息(就业去向、捐赠记录、联系方式)
- 教职工人事档案、薪酬数据
- 财务数据、身份证明、账号恢复信息
高校之所以成为主要目标,背后有三重逻辑:
1. PeopleSoft 在高校中的"心脏"地位。招生、学籍、校友、薪酬、身份认证……PeopleSoft 在欧美高校中承载着几乎所有核心流程,其数据密度远超一般业务系统。
2. 高校 IT 的资源约束。大部分高校 IT 部门的人力和预算都远不如企业 IT,一旦遇到重大漏洞,应急响应能力跟不上。
3. 业务连续性的"绑架"。高校的招生季、毕业季、考试季都高度依赖 PeopleSoft,停机整改的代价巨大,这让高校在面对"修复 vs. 业务连续性"的两难时,往往倾向于先撑着用——这恰恰给了攻击者更大的窗口期。
这三重逻辑,其实对中国大量正在使用 ERP/HR/HIS 等大型业务系统的企事业单位也是同样的警钟——业务越核心、数据越密集的系统,一旦遭遇零日攻击,应急成本就越高。
四、给企业 IT 管理员的 7 条紧急建议
虽然本次事件的直接受害者以高校为主,但任何使用 PeopleSoft 的中国企事业单位、外企在华分支机构、政府机构,都应该立即行动。结合 Mandiant 和 Rapid7 给出的 IOC(Indicators of Compromise,入侵指标),我们整理出以下 7 条实操建议:
1. 立即对照 IOC 排查日志:重点关注 5 月 27 日以来,PeopleSoft、WebLogic、Process Scheduler 相关服务器上是否有异常出站 SSH 连接(特别是目的 IP 是否命中 176.120.22.24 等已知恶意地址段)。
2. 排查可疑的 zstd 压缩包:攻击链中明显使用了 zstd 压缩来打包数据外传。如果在 PeopleSoft 服务器或与其内网互通的机器上发现非预期的 .tar.zst、.zst 文件,不要直接打开,先断网、留存证据再做进一步分析。
3. 检查临时目录与暂存目录:攻击者在打包数据时往往会在系统临时目录(如 /tmp、C:WindowsTemp、PeopleSoft 应用目录下的临时文件夹)中留下痕迹,建议做一次全盘搜索。
4. 审计对内部配置文件的批量读取行为:WebLogic 的 config.xml、Process Scheduler 的配置目录如果在短时间内被反复读取,或者被非常规账户访问,这是非常明显的异常信号。
5. 评估数据层面的暴露范围:不要只看服务器有没有被入侵,更要评估数据有没有被拿走。重点排查学生、员工、供应商、捐赠人等人员记录是否被批量访问,财务、身份证明、账号恢复信息是否被外泄。这些信息决定了后续的法律通知义务和公关应对策略。
6. 立即应用 Oracle 的临时缓解措施:虽然正式补丁未到,但 Oracle 已经在 6 月 10 日发布了临时缓解方案(具体包括对 WebLogic / Process Scheduler 访问的限制、白名单配置等),该打的临时补丁一个都不要省。
7. 重新审视企业 ERP/HR 系统的安全基线:本次事件最大的启示是,SSRF 类漏洞在大型业务系统中的危害被严重低估。建议企业安全团队对照本次攻击链,对自己环境中的同类系统做一次专项排查。
五、我们更应该看到什么?
CVE-2026-35273 不是孤例。近一个月来,我们已经先后看到:
- Check Point VPN 身份验证绕过零日被 Qilin 团伙实战利用(6月初)
- Veeam Backup CVSS 9.4 RCE 漏洞(6/9披露)
- 思科 SD-WAN Manager 高危 0day 无补丁在野利用(6/6披露)
- HTTP/2 协议"炸弹级"漏洞 88 万+公网主机告急
从这几次事件的共性可以看出三个趋势:
第一,零日攻击的响应窗口越来越短。过去从漏洞披露到大规模利用,可能有几天到几周的缓冲期;而现在,从零日暴露到勒索组织实战利用,往往只有几天甚至更短。ShinyHunters 这次 5/27 开始利用,6/10 Oracle 才发临时缓解,整整两周的窗口期,对于企业 IT 来说,是致命的。
第二,攻击目标越来越"重"。从过去的边缘系统、办公软件,逐步深入到 VPN、备份、SD-WAN、ERP/HR 等企业核心基础设施。攻击者很清楚,越贴近企业核心流程的数据,越能逼出赎金。
第三,企业软件的"信任债"问题被放大。所有大型商业软件(PeopleSoft、SAP、Oracle EBS、ServiceNow……)都积累了十几甚至几十年的代码债。这些历史上的集成、补丁、配置,构成了巨大的攻击面,而厂商自己也不一定完全清楚自己代码里的所有风险点。AI 辅助的代码审计和漏洞挖掘,正在加速把这些"沉睡的攻击面"暴露出来。
六、北京华盛永诚的实战建议
作为北京地区从事 IT 外包和兼职网管服务 20 年的老牌服务商,我们对客户说的最多的一句话是:不要等出事了才想起来安全。具体到本次 PeopleSoft 事件以及近期的多个零日攻击,我们建议所有企业 IT 管理者把以下 4 件事列入本周工作计划:
- 梳理自家使用的大型业务系统清单,特别是那些已经运行 5 年以上的老系统,对照近 30 天披露的高危漏洞做一次专项排查
- 对企业内网出站流量做一次审计,重点看是否有指向境外 IP 的异常 SSH/数据库连接
- 测试一次"补丁日"应急流程,看看从漏洞披露到完成全网补丁,自己的团队到底需要多少小时
- 为最坏情况做一次数据外泄的桌面推演,包括法律通知义务、客户沟通预案、公关口径
安全这件事,从来都不是"装个防火墙就完事了"。每一次新的零日事件,都是对整个行业 IT 应急能力的一次压力测试。
如果您在 PeopleSoft、SAP、Oracle EBS 等大型业务系统的漏洞排查、补丁管理、应急响应方面遇到具体问题,欢迎通过我们的网站留言板留言,我们会安排资深工程师为您评估和答疑。
本文综合公开披露的 Mandiant、Rapid7、Oracle 官方公告以及多家安全媒体的报道整理,所有技术细节均基于已公开信息,不涉及任何未授权访问的指导。