Oracleは、CVE-2026-35273として追跡されているPeopleSoft Suiteの重大なゼロデイ脆弱性について警告を発しています。この脆弱性は認証なしでのリモートコード実行を可能にするもので、ShinyHunterによるデータ窃取攻撃でも積極的に悪用されています。
この脆弱性はOracle PeopleSoft PeopleToolsに存在し、CVSSベーススコアは9.8です。
「このセキュリティアラートは、Oracle PeopleSoft PeopleToolsにおける脆弱性CVE-2026-35273に対処するものです。Oracle PeopleSoft Enterpriseアプリケーションをご利用のお客様も、この脆弱性の影響を受ける可能性があります」と、Oracleの新しいアドバイザリには記載されています。
「この脆弱性は、認証なしでリモートから悪用可能です。悪用に成功した場合、リモートコード実行につながる恐れがあります」
Oracleはこのゼロデイ脆弱性がPeopleSoft Enterprise PeopleToolsのバージョン8.61および8.62に影響することを確認しており、脆弱性に対処するための緊急緩和策を公開しています。パッチは近日中にリリースされる予定です。
ShinyHunterのデータ窃取攻撃で悪用されたゼロデイ脆弱性
Oracleはこの脆弱性が積極的に悪用されているとは明言していませんが、今回の開示は、ShinyHuntersという恐喝グループがPeopleSoftのゼロデイ脆弱性を悪用してインスタンスに侵入しデータを窃取しているとBleepingComputerが最初に報じた後のタイミングで行われました。
BleepingComputerはその後、今回の攻撃で悪用されたゼロデイ脆弱性がこれであることを確認しています。
Mandiant(Google Cloud)のCTOであるCharles Carmakal氏もLinkedIn上でCVE-2026-35273が積極的に悪用されていることを確認し、Oracleがこの脆弱性に対する緩和策をリリースしたと述べています。
火曜日、BleepingComputerはOracle PeopleSoftが一連のデータ窃取攻撃の標的になっていたことを確認しました。攻撃現場にはShinyHunters恐喝グループを名乗る脅迫メモが残されていたとされています。
ShinyHuntersは、大量の企業データを保有するクラウドSaaSインスタンス、CRM、エンタープライズプラットフォームへの侵入を常套手段とする、よく知られた脅威アクターです。インスタンスへのアクセスを得た後は、データをダウンロードし、公開を防ぐための身代金を要求します。
このグループは過去1年間に、SnowFlake、Salesforce、サードパーティ統合プロバイダーを標的とした多数の注目すべき攻撃に関与しているとされています。
ShinyHuntersはBleepingComputerに対し、今回の攻撃が自分たちによるものであることを認め、既知の脆弱性とゼロデイ脆弱性を組み合わせた「ガジェットチェーン」を使ってPeopleSoftインスタンスに侵入したと主張しています。
この脆弱性を利用して、脅威アクターは100以上の組織の300インスタンスからデータを窃取したとされています。
サイバーセキュリティ研究者の「Michael R」氏は、攻撃関連ツールを含む複数の公開オンラインディレクトリを発見し、攻撃で使用された以下のIPアドレスを共有しています。
142.11.200[.]186
142.11.200[.]187
142.11.200[.]188
142.11.200[.]189
142.11.200[.]190
108.174.202[.]99
176.120.22[.]24Oracle PeopleSoftを運用している場合は、上記のIPアドレスからの接続がないかログを解析し、今回の攻撃の標的になっていないかを確認することを強くお勧めします。
BleepingComputerはこの脆弱性と攻撃に関する質問をOracleに送付しましたが、現時点で回答は得られていません。
攻撃者より先に、あらゆる層をテスト
セキュリティチームが記録する成功した攻撃は全体の54%にとどまり、アラートが発せられるのはわずか14%です。残りはあなたの環境を検知されることなく通過しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーションを使ってSIEMとEDRのルールをテストし、脅威が検知をすり抜けないようにする方法を解説しています。
