Oracle PeopleSoft Zero-Day RCE Vulnerability Exploited by ShinyHunters
2026/06/12 gbhackers — Oracle PeopleSoft に新たに発見されたゼロデイ脆弱性が、脅威グループ ShinyHunters により積極的に悪用されていることが、Mandiant と Google Threat Intelligence Group (GTIG) による共同調査により明らかになった。この CVE-2026-35273 は CVSS スコア 9.8 (High) と評価されており、Environment Management コンポーネントに影響を与え、認証不要のリモート・コード実行を引き起こす。
Oracle が公式アドバイザリを公開する前の、2026年5月27日から 6月9日にかけて悪用活動が行われ、真のゼロデイ攻撃が生じたことが、研究者により確認された。この攻撃キャンペーンは、UNC6240 (ShinyHunters) に帰属し、高等教育セクターを標的としており、確認された被害組織の 68% が大学/学術機関/教育機関であった。
Oracle PeopleSoft のゼロデイ RCE 脆弱性
この脆弱性を悪用する攻撃者は、公開されている Environment Management Hub (PSEMHUB) エンドポイントを標的とし、PeopleSoft 環境への初期アクセス権を取得した。その後に、ステージング・インフラ/リモート管理ツール/ラテラル移動スクリプト/データ流出メカニズムを含む、体系化されたポスト・エクスプロイト・フレームワークを展開した。
公開 IP アドレスと脆弱なシステムに対して相関分析を実施した Mandiant は、100 を超える組織に対して事前に通知したと報告している。しかし、一部の組織は依然として侵害された状態にあり、盗まれたデータは 6月9日に ShinyHunters のリーク・サイト上で公開された。
この攻撃の重要な要素として、142.11.200.186~190 の IP クラスタ上にホストされた攻撃者管理のステージング・サーバが存在していた。これらのサーバは、ポート 8888 上で稼働する Python HTTP サーバを介してディレクトリを公開していた。
これらのディレクトリには、ツール/ペイロード/コマンド履歴が保存されていたことで、研究者は攻撃チェーン全体を再構築することができた。その他にも、展開されたペイロードからは正規の Azure サービスを装うカスタマイズ済みの MeshCentral エージェントが確認された。さらに、”meshagent64-azure-ops.exe/meshagent32-azure-ops.exe” といったバイナリが使用されていたことも判明した。
これらのエージェントは、Microsoft Azure NetApp のインフラを模倣することで検知を回避する、”azurenetfiles.net” 上の C2 サーバと通信するよう設定されている。
攻撃者のコマンド履歴の分析から明らかになったのは、内部偵察および持続化に向けた体系的な運用の手法である。アクセスを確立した攻撃者は、MeshCentral のコマンドライン・インターフェイス (meshctrl.js) を利用して、侵害ホスト全体でコマンドを実行してシステム構成を列挙し、psappsrv.cfg や WebLogic の config.xml などの Oracle PeopleSoft 設定ファイルから機密情報を抽出した。
また、”/etc/hosts” の解析やマウントされたファイル・システムの調査を通じて内部ネットワークをマッピングし、標的を絞ったラテラル移動を実施した。
被害環境内での拡散には [victim_abbreviation]_fanout.sh というカスタム・スクリプトが使用されていた。このスクリプトは、ハードコードされたユーザー名とパスワードを利用して SSH 認証情報スプレー攻撃を自動化し、内部システム全体へのアクセスを試みるものだった。
認証に成功すると、README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT という名の改竄/恐喝用のマーカー・ファイルが、WebLogic や Process Scheduler を含む重要な PeopleSoft ディレクトリへとコピーされた。この活動は、侵害の兆候を可視化するだけでなく、データ流出と連動する恐喝活動とも一致していた。
データ窃取のプロセスも、流出したログから明確に確認されている。攻撃者は、zstd を用いて窃取したデータを圧縮した後に、176.120.22.24 へのアウトバウンド SSH 接続を確立して外部へ転送していた。
この IP アドレスは、ShinyHunters のリーク・サイト基盤および対外向けインフラと関連付けられていた。さらに、テレメトリ・データから確認されたのは、この攻撃チェーンが NetNTLM ハッシュを取得するためのアウトバウンド SMB 接続を含んでいる可能性であり、侵害後の攻撃能力が拡張されていることが示唆された。
セキュリティ専門家は、Oracle PeopleSoft を利用する組織に対して、リスク軽減のため直ちに対策を講じるよう警告している。推奨される対策は以下のとおりである。
- Environment Management Hub サービスを可能な限り無効化する。
- /PSEMHUB///PSIGW/HttpListeningConnector への外部アクセスを制限する。
- WebLogic のアクセスログを監査し、不審な POST リクエストを確認する。
- アウトバウンド SMB トラフィックを監視する。
- PSEMHUB 配下の不正な JSP ファイルや、ステージング・ディレクトリに対するファイル整合性チェックを実施する。
この脆弱性を悪用する際に認証は不要であり、さらに標的型攻撃キャンペーンで悪用されていることから、パッチ未適用のエンタープライズ・アプリケーションは、依然として大きなリスクを抱えている。
脆弱性の悪用/認証情報を悪用したラテラル移動/データ流出/恐喝活動を組み合わせた攻撃手法は、ShinyHunters の運用成熟度と攻撃能力の進化を示し、企業環境における迅速なパッチ適用と継続的な監視の重要性を強く浮き彫りにしている。
IoC
| Category | Type | Indicator / Path | Description |
|---|---|---|---|
| Network | IP | 142.11.200.186 | Attacker staging host (Python HTTP on 8888) |
| Network | IP | 142.11.200.187 | Attacker staging host |
| Network | IP | 142.11.200.188 | Attacker staging host |
| Network | IP | 142.11.200.189 | Attacker staging host |
| Network | IP | 142.11.200.190 | Attacker staging host |
| Network | IP | 176.120.22.24 | ShinyHunters DLS public mirror |
| Network | Domain | azurenetfiles.net | MeshCentral C2 masquerading as Azure NetApp |
| File / payload | SHA-256 | 2ab684d93c1553fad87041b4dea97188a97e78589deee2a7bacff905564f3a35 | Attacker .bash_history (command history) |
| File / payload | SHA-256 | f02a924c9ff92a8780ce812511341182c6b509d45bc59f3f7b522e37225d24fc | meshagent64-azure-ops.exe, Windows agent |
| File / payload | SHA-256 | d83fdb9e53c5ff03c4cb0451ea1bebd79b53f29eadc1e2fa394c7af13a86ce2f | meshagent64-v2.exe, Windows agent |
| File / payload | SHA-256 | c7e9332731b06644fc73e0046a2a89eaa59b09f54250e9bd622467187351711f | meshagent32-azure-ops.exe, Windows agent |
| File / payload | SHA-256 | 68257a6f9ff196179ec03624e849927f26599eb180a7c82e14ef5bc4e93bc309 | meshagent, unconfigured Linux agent |
| File / payload | Filename | README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT | Defacement / extortion marker |
| File / payload | Filename | [victim_abbreviation]fanout.sh | SSH propagation and lateral movement script |
| HTTP / app | HTTP path | /PSEMHUB/hub | Exploited PeopleSoft EMHub endpoint |
| HTTP / app | HTTP path | /PSIGW/HttpListeningConnector | Integration Broker / SSRF pivot |
| Filesystem | Directory | PSEMHUB.war/envmetadata/transactions/ | Potential unauthorized staging directory |
| Filesystem | Directory | logs (under PSEMHUB paths) | Unexpected directory name |
| Filesystem | Directory | persistantstorage (under PSEMHUB paths) | Unexpected directory name |
| Filesystem | Directory | scratchpad (under PSEMHUB paths) | Unexpected directory name |
| Filesystem | File glob | PSEMHUB.war/*.jsp | Suspicious webshell JSPs |
| Filesystem | File glob | envmetadata/data/environment/*.xml | XMLDecoder persistence / RCE on restart |
注記:IP アドレスおよびドメインへのアクセスは、意図しない名前解決やハイパーリンク化を防止するために、MISP/VirusTotal/SIEM などの管理された脅威インテリジェンス・プラットフォーム内でのみ実施することが推奨される。
このセキュリティ事案は、 Oracle PeopleSoft の Environment Management コンポーネントに存在する、脆弱性 CVE-2026-35273 が原因で発生しました。 この問題は、 認証を必要とせずにリモートからコードを実行されてしまうという大変危険なものです。攻撃者は、公開されているエンドポイントを標的として、システムへの不正なアクセス権を取得していました。さらに、設定ファイルから機密情報を窃取し、独自のスクリプトによる自動的な攻撃で内部ネットワークへ侵入を拡大しました。 重要なシステムが、外部からアクセス可能な状態になっていると、 このようなゼロデイ攻撃の標的になるリスクが高まります。よろしければ、Oracle で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.