AIO APEX
Security

شکارچیان درخشان CVE-2026-35273 را دو هفته پیش از انتشار وصله توسط Oracle مورد بهره‌برداری قرار دادند و بیش از ۱۰۰ سازمان را نقض کردند

The Hacker News
اشتراک‌گذاری:
شکارچیان درخشان CVE-2026-35273 را دو هفته پیش از انتشار وصله توسط Oracle مورد بهره‌برداری قرار دادند و بیش از ۱۰۰ سازمان را نقض کردند

دو هفته، بدون وصله، بیش از ۱۰۰ قربانی: Zero-Day Oracle PeopleSoft به مخرب‌ترین کمپین ShinyHunters تاکنون تبدیل شد

از ۲۷ مه تا ۹ ژوئن ۲۰۲۶، گروه ShinyHunters — که تیم Mandiant گوگل آن را با نام UNC6240 ردیابی می‌کند — به‌آرامی از میان استقرارهای PeopleSoft در دانشگاه‌ها و کالج‌های سراسر ایالات متحده و فراتر از آن عبور کرد. Oracle تا ۱۰ ژوئن هیچ توصیه‌نامه خارج از چرخه معمولی برای آسیب‌پذیری زیربنایی، CVE-2026-35273، منتشر نکرد. هر نقض امنیتی در آن بازه زمانی در برابر یک zero-day بدون هیچ راه‌حل موجودی رخ داد.

این آسیب‌پذیری دارای امتیاز CVSS برابر ۹.۸ از ۱۰ است. این یک نقص Server-Side Request Forgery (SSRF) بدون احراز هویت در Oracle PeopleSoft Enterprise PeopleTools نسخه‌های ۸.۶۱ و ۸.۶۲ است، و محققان بر این باورند که نسخه‌های قدیمی‌تر که دیگر پشتیبانی نمی‌شوند نیز به همان اندازه در معرض خطر هستند. برای فعال‌سازی آن هیچ اعتباری لازم نیست — مهاجمی که تنها دسترسی شبکه‌ای از طریق HTTP داشته باشد می‌تواند به endpoint‌های آسیب‌پذیر دسترسی پیدا کرده و به سمت Remote Code Execution پیش برود.

چه چیزی مورد بهره‌برداری قرار گرفت و چگونه

مؤلفه آسیب‌پذیر، Environment Management Hub سیستم PeopleSoft است که با نام PSEMHUB شناخته می‌شود. دو endpoint خاص هدف قرار گرفتند: /PSEMHUB/hub و /PSIGW/HttpListeningConnector. از آنجا که این رابط‌ها گاهی برای سهولت مدیریتی در برابر اینترنت باز می‌مانند، ShinyHunters توانست آن‌ها را به‌صورت گسترده بررسی و بدون هیچ پایگاه قبلی در شبکه‌های قربانی، به خطر بیندازد.

پس از نفوذ، گروه پایداری خود را از طریق یک سرور command-and-control در azurenetfiles.net برقرار کرد — دامنه‌ای که برای آمیختن با زیرساخت قانونی Azure NetApp Files طراحی شده بود. حرکت جانبی از طریق اسکریپت‌های shell مختص هر قربانی با الگوی نام‌گذاری [victim]_fanout.sh به‌صورت خودکار انجام شد. پوشه‌های PeopleSoft در معرض خطر یک نشانه دریافت کردند: یک فایل متنی ساده با نام README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT.

Mandiant خاطرنشان کرده است که این حمله نشان‌دهنده تحول تاکتیکی برای ShinyHunters است. این گروه شهرت خود را بر کمپین‌های vishing و سرقت OAuth token بنا کرده بود — روش‌هایی که به دستکاری افراد متکی هستند. تبدیل کردن یک آسیب‌پذیری سمت سرور وصله‌نشده در نرم‌افزار ERP مستقر به‌صورت گسترده به سلاح، نوع متفاوتی از توانایی است و نتایج به‌مراتب بزرگ‌تری نیز به دنبال داشت.

مقیاس و خسارت تأییدشده

تا زمانی که توصیه‌نامه Oracle منتشر شد، بیش از ۱۰۰ سازمان در بیش از ۳۰۰ نمونه PeopleSoft به خطر افتاده بودند. تفکیک بخشی قابل توجه است: ۶۸ درصد از قربانیان در حوزه آموزش عالی هستند، عمدتاً کالج‌ها و دانشگاه‌های آمریکایی. PeopleSoft هنوز به عمق سیستم‌های منابع انسانی، سوابق دانشجویی و مالی دانشگاه‌ها نفوذ کرده است — ترکیبی که این مؤسسات را هم به اهداف پرارزش و هم به قربانیان پرتأثیر تبدیل کرد.

دانشگاه ناتینگهام نقض امنیتی را تأیید کرد. Have I Been Pwned تعداد ۴۵۵٬۰۰۰ آدرس ایمیل منحصربه‌فرد از داده‌های لو رفته را ثبت کرد که شامل نام، آدرس پستی، شماره تلفن، شماره گذرنامه، قومیت و اطلاعات معلولیت بود. حساسیت این مجموعه داده — که شامل دسته‌بندی‌های محافظت‌شده تحت GDPR و قوانین معادل می‌شود — به این معنی است که افراد آسیب‌دیده برای سال‌ها با خطرات بالاتری از کلاهبرداری هویتی و فیشینگ هدفمند روبه‌رو خواهند بود.

ShinyHunters به‌صورت عمومی اعلام کرده که تماس با قربانیان تازه آغاز شده است. سازمان‌های بیشتری باید انتظار داشته باشند که با پیشروی گروه در خط لوله اخاذی خود نام‌شان مطرح شود.

CISA آدرس CVE-2026-35273 را در ۱۲ ژوئن به فهرست Known Exploited Vulnerabilities (KEV) اضافه کرد، دو روز پس از توصیه‌نامه Oracle. سازمان‌های فدرال تحت دستورالعمل CISA ملزم به رفع این آسیب‌پذیری در یک بازه زمانی تسریع‌شده هستند، اما ثبت در KEV همچنین به‌عنوان یک سیگنال رسمی به بخش گسترده‌تر عمل می‌کند مبنی بر اینکه بهره‌برداری تأیید شده و فعال است.

مدافعان اکنون چه باید بکنند

Oracle یک وصله منتشر کرده است. فوراً آن را اعمال کنید. برای سازمان‌هایی که در حال حاضر نمی‌توانند وصله را اعمال کنند، دو راه‌حل موقت در دسترس است:

  • سرویس PSEMHUB را به‌طور کامل غیرفعال کنید اگر به‌لحاظ عملیاتی ضروری نیست. این کار سطح حمله را از ریشه حذف می‌کند.
  • دسترسی خارجی در محیط شبکه را مسدود کنید به مسیرهای /PSEMHUB/* و /PSIGW/HttpListeningConnector. این endpoint‌ها را تحت هیچ شرایطی به اینترنت عمومی وصل نکنید.

Mandiant به‌صراحت هشدار داده است که قوانین بازرسی بدنه WAF به‌تنهایی برای جلوگیری از بهره‌برداری از این آسیب‌پذیری کافی نیستند. سازمان‌هایی که فایروال‌های برنامه وب را به‌عنوان کنترل اصلی خود مستقر کرده‌اند و اقدامات فوق را انجام نداده‌اند، باید خود را تا زمانی که این کار را نکنند، بدون حفاظت تلقی کنند.

فراتر از وصله‌گذاری و کنترل‌های دسترسی، مدافعان باید IOC‌های شناخته‌شده را در محیط‌های خود جستجو کنند:

  • اتصالات خروجی یا جستجوهای DNS به azurenetfiles.net
  • اسکریپت‌های shell روی هاست‌های PeopleSoft که با الگوی نام‌گذاری [victim]_fanout.sh مطابقت دارند
  • وجود README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT در هر پوشه PeopleSoft
  • درخواست‌های HTTP غیرمعمول به endpoint‌های PSEMHUB یا PSIGW در لاگ‌های وب و سرور برنامه

با توجه به اینکه بازه بهره‌برداری از ۲۷ مه آغاز شد، هر سازمانی که در آن دوره یک نمونه PeopleSoft قابل دسترس از اینترنت روی نسخه‌های ۸.۶۱ یا ۸.۶۲ داشته، باید صرف‌نظر از مشاهده IOC‌ها، یک بررسی کامل واکنش به حادثه انجام دهد. نبود فایل README تأییدی بر پاک بودن محیط نیست — یعنی ShinyHunters احتمالاً هنوز به مرحله اخاذی نرسیده است.

ترکیب امتیاز CVSS نزدیک به کامل، عدم نیاز به احراز هویت، و دو هفته پیش‌قدمی نسبت به مدافعان، CVE-2026-35273 را به یکی از مخرب‌ترین آسیب‌پذیری‌های سازمانی سال ۲۰۲۶ تبدیل می‌کند. پنجره اقدام پیشگیرانه بسته شده است. پنجره مهار و واکنش اکنون باز است.

zero-daydata-breachshinyhuntersoraclepeoplesoftcve-2026-35273

Originally reported by The Hacker News. Read the original article for additional details.

View original source
اشتراک‌گذاری: