CVE-2026-35273: Oracle PeopleSoft 未授权远程代码执行漏洞分析

CVE-2026-35273: Oracle PeopleSoft 未授权远程代码执行漏洞深度分析

0x01 漏洞背景与详情

CVE-2026-35273 是 Oracle PeopleSoft Enterprise PeopleTools 中一个极危的未授权远程代码执行风险点。官方将其归类为 CWE-306，即关键功能缺少身份认证。该漏洞位于 Updates Environment Management 相关组件中，外部攻击者无需登录即可从网络侧触达高危管理能力。

• CVE ID: CVE-2026-35273
• 危险等级: 极危 (Critical, CVSS 9.8)
• 受影响组件: PeopleSoft Enterprise PeopleTools 8.61、8.62
• 核心风险: 外部未认证访问可导致远程代码执行及后续内网横向
• 利用状态: 已被 CISA 收录到 KEV，并有公开情报指向真实攻击活动

0x02 漏洞原理分析

目前 Oracle 尚未公开完整的代码级 RCA，但从官方公告、NVD 定性和 Mandiant 事件分析中，可以归纳出以下高置信事实：

1. 关键管理功能未做充分认证: 该漏洞被归类为 Missing Authentication for Critical Function，说明某些原本只应由可信管理链路调用的功能，实际上可被外部未认证请求触达。

2. 攻击面与 PSEMHUB/PSIGW 组件高度相关: 公开威胁情报显示，攻击请求与以下入口高度相关：

   • POST /PSEMHUB/hub
   • POST /PSIGW/HttpListeningConnector

3. 可能存在代理/转发式能力: Mandiant 的取证建议表明，攻击者可能借助 HttpListeningConnector 触达回环地址、本地组件或内网路径。虽然厂商未正式公布完整攻击链，但这一现象说明 PeopleSoft 管理面暴露出来的能力远不止“普通 Web 请求处理”。

4. 落地与后续执行风险集中在 PSEMHUB 路径: 公开取证中重点建议检查 PSEMHUB.war、envmetadata/transactions/ 以及相关 .xml 文件。这说明攻击利用很可能伴随文件生成、配置投递或重启后触发的执行路径。

0x03 漏洞 POC (Proof of Concept)

截至目前，Oracle 未公开官方 exploit。对生产环境而言，更合理的做法是采用验证型 POC，确认攻击面和异常行为，而不是直接执行武器化利用链。

验证型思路

1. 在隔离实验环境部署受影响版本 8.61 或 8.62。
2. 对以下端点进行最小化访问测试：

POST /PSEMHUB/hub HTTP/1.1
POST /PSIGW/HttpListeningConnector HTTP/1.1

3. 重点观察：
   • 是否在无登录态下返回可区分的业务响应
   • 是否触发对 localhost、127.0.0.1 或内网地址的后端访问
   • 是否在 PSEMHUB.war/envmetadata 等目录下产生新的文件

验证重点

该漏洞更适合做“攻击面存在性验证”，例如：

• 是否存在未授权访问管理端点
• 是否存在异常回环访问或内网转发
• 是否存在新增 JSP、XML 或二进制落地痕迹

0x04 高级实战利用姿势 (Weaponization)

1. 从未授权访问到完整运维面接管: 公开事件显示，攻击者并不满足于单点代码执行，而是把 PeopleSoft 当作进入企业核心业务区的落脚点。初始突破后，会迅速读取 PeopleSoft 与 WebLogic 的配置文件、主机映射和业务拓扑信息。

2. 伪装远控组件长期驻留: Mandiant 报告中提到，攻击者会投放伪装成 Azure 运维组件的 MeshCentral agent，以此建立更稳定的远程控制通道，而不是依赖一次性命令执行。

3. 横向扩散与批量投递: 公开取证中出现了利用 SSH 凭据、脚本化方式向其他节点批量复制文件和执行命令的行为。这表明 PeopleSoft 一旦被攻破，后续很容易发展成跨节点横向移动。

4. 数据打包与外传: 攻击者会读取 psappsrv.cfg、config.xml、挂载信息和主机清单，并使用压缩工具打包敏感数据，再结合 C2 基础设施完成外传。这使该漏洞同时具备“初始访问”和“数据泄露”双重风险。

0x05 应急排查与日志痕迹分析

1. 访问日志重点排查: 搜索来自外部源地址的以下请求：

   • POST /PSEMHUB/hub
   • POST /PSIGW/HttpListeningConnector

   若请求中出现如下元素，应高度关注：

   • 127.0.0.1
   • localhost
   • ::1
   • 内网地址段

2. 文件系统痕迹: 重点排查以下路径是否出现新增或近期改写文件：

   • PSEMHUB.war
   • PSEMHUB.war/envmetadata/transactions/
   • envmetadata/data/environment/

   特别关注：

   • 新增 JSP
   • 新增 XML
   • 非产品自带目录或二进制

3. 异常出站与 C2 痕迹:

   • 检查是否存在异常 SMB 445 外联
   • 检查是否访问可疑域名或 WebSocket 通道
   • 检查是否出现数据压缩、批量打包、横向脚本投递

4. 攻击后行为特征: 公开事件中提到过伪装远控二进制、横向脚本和勒索标记文件。如果在业务服务器上看到与这些行为一致的异常，应直接提升为入侵事件处置。

0x06 修复与缓解建议

1. 第一优先级是打官方补丁: 立即参考 Oracle 的 Patch Availability Document 和安全公告，完成 PeopleTools 8.61 / 8.62 的修复更新。

2. 关闭不必要的 Environment Management 暴露面:

   • 多服务器部署时，优先禁用 Environment Management Hub (EMHub)
   • 单服务器场景中，若业务允许，可直接移除 PSEMHUB

3. 边界拦截危险路径: 在修复完成前，应优先限制外部对以下路径的访问：

   • /PSEMHUB/*
   • /PSEMHUB/hub
   • /PSIGW/HttpListeningConnector

4. 按已失陷思路处置: 该漏洞已有在野利用证据。对已暴露系统，除了补丁外还应同步开展：

   • WebLogic/PIA 日志审计
   • 文件完整性核查
   • 出站连接排查
   • 配置文件与凭据轮换

0x07 参考资料

• Oracle 官方安全公告
• Oracle verbose 说明
• NVD - CVE-2026-35273
• CISA KEV - CVE-2026-35273
• Google / Mandiant 威胁情报分析