В конце мая несколько университетов и корпоративных систем начали ловить странные запросы к Oracle PeopleSoft. Позже выяснилось, что речь шла не о случайном сканировании, а о целевой атаке: злоумышленники проникали в серверы, выносили данные и переходили к шантажу.

Что произошло и почему это важно

Речь идёт об уязвимости CVE-2026-35273 в Oracle PeopleSoft Enterprise PeopleTools. По оценке Oracle, она получила 9,8 балла из 10: для атаки не нужен логин, не нужна даже ошибка пользователя — достаточно сетевого доступа по HTTP.

Google Mandiant связала кампанию с группой UNC6240, которую исследователи ассоциируют с ShinyHunters. Активность, по их данным, шла с 27 мая по 9 июня, а публичный совет Oracle вышел только 10 июня. Иными словами, уязвимость всё это время была zero-day — дырой, про которую производитель ещё не предупредил клиентов.

Чем атакующие брали серверы

Схема оказалась простой и неприятной. Если модуль Environment Management Hub был доступен извне, атакующий мог добраться до уязвимого компонента, выполнить код и получить контроль над сервером.

Дальше шёл обычный для таких кампаний набор: кража файлов, закрепление в системе, попытка распространиться по внутренней сети и подготовка к вымогательству. В опубликованных материалах исследователи нашли Python SimpleHTTP-серверы, поддельные агенты для удалённого управления и скрипт для движения по SSH с заранее зашитыми логинами и паролями.

Это не похоже на шумную массовую атаку. Скорее, это точечная работа по богатым целям — тем, где хранятся персональные данные студентов, сотрудников и выпускников.

Почему пострадали прежде всего вузы

Mandiant уведомила более 100 организаций с уязвимыми адресами. Около 68 % из них пришлись на высшее образование, причём большая часть — в США. Для атакующих это понятная среда: большие базы данных, много пользователей, тесная связка с кадровыми и учебными системами.

Первые подтверждённые потери уже есть. Университет Ноттингема подтвердил инцидент, а в слитом массиве, по подсчётам Have I Been Pwned, оказалось около 455 тыс. уникальных адресов электронной почты. В наборе — имена, адреса, телефоны, паспортные данные и сведения о здоровье и этничности.

Похожая логика встречается и в других инцидентах: сначала тихий вход, потом поиск чувствительных данных и только затем публичное давление. Мы уже разбирали, как это работает на примере срыва ложных сообщений о взломе официального портала и в кейсе с утечкой у Университета Ноттингема.

Какие есть варианты защиты

Первый и самый прямой шаг — убрать внешний доступ к уязвимым точкам. Oracle советует отключить Environment Management Hub на многосерверных установках, а на односерверных — удалить PSEMHUB-приложение. Если это невозможно, надо закрыть с периметра доступ к /PSEMHUB/* и /PSIGW/HttpListeningConnector.

Плюс этого подхода — он режет саму поверхность атаки. Минус — требует аккуратной проверки, чтобы не сломать внутренние процессы и интеграции.

Второй вариант — установить обновление Oracle для своей версии PeopleTools, как только оно доступно в My Oracle Support. Это базовая мера, но в таких историях патч редко спасает сам по себе: до установки обновления и после него всё равно нужно проверить журналы и следы возможного проникновения.

Третий слой — охота за признаками компрометации. Mandiant советует смотреть WebLogic access logs на внешние POST-запросы к /PSEMHUB/hub и /PSIGW/HttpListeningConnector, искать неожиданные .jsp-файлы в каталоге PSEMHUB.war и недавно изменённые .xml в envmetadata/data/environment.

Четвёртый слой — цифровая гигиена на рабочих устройствах и в поездках. Для сотрудников, которые подключаются к внутренним системам из командировок или с чужих сетей, полезно держать отдельный набор мер: менеджер паролей, двухфакторную аутентификацию и инструмент для шифрования трафика на личных устройствах. Это не заменяет серверную защиту, но снижает риск перехвата учётных данных и случайных утечек.

Кому какой подход подойдёт

Если у вас небольшой контур и PeopleSoft стоит внутри одной сети, начните с периметра: закройте внешние пути к PSEMHUB и обновите платформу. Это самый быстрый и предсказуемый способ сбить риск.

Если вы администрируете крупную инфраструктуру, одной настройки мало. Нужны журналы, контроль исходящего трафика, проверка файлов на сервере и отдельный разбор всех систем, которые могли ходить в PeopleSoft по доверенным каналам.

Если вы отвечаете за риски в организации, не ограничивайтесь патч-менеджментом. Такие кампании, как эта, быстро переходят из технической проблемы в репутационную и юридическую.

Что делать прямо сейчас

  • Проверить, стоит ли у вас Oracle PeopleSoft Enterprise PeopleTools 8.61 или 8.62, а также не используются ли более старые поддерживаемые версии.
  • Отключить внешний доступ к PSEMHUB или удалить компонент, если архитектура это позволяет.
  • Закрыть на периметре /PSEMHUB/* и /PSIGW/HttpListeningConnector.
  • Просмотреть WebLogic access logs на внешние POST-запросы к этим путям.
  • Проверить каталог PSEMHUB.war на неожиданные .jsp-файлы и странные папки logs, persistantstorage, scratchpad.
  • Найти недавно изменённые .xml в envmetadata/data/environment.
  • Посмотреть, не было ли исходящего SMB-трафика на порт 445 к внешним адресам.
  • Поставить обновление Oracle сразу после подтверждения его доступности.
  • Если сотрудники работают удалённо или в поездках, усилить защиту учётных данных и трафика на их устройствах.
Поделиться: