吳明宜甲骨文 (Oracle) 周四釋出例外安全更新,修補近日遭勒索軟體駭客 ShinyHunters 攻擊的 PeopleSoft 漏洞。 PeopleSoft 是甲骨文的 HR 、薪資、財務、供應鏈及校園營運管理產品,廣為大型企業使用。
在這項修補行動之前,ShinyHunters 已在自有的資料公開網站上宣稱握有英國諾丁漢大學 (Nottingham University) 員工、學生與校友約 40GB 的資料,並公開了部分內容。
這群駭客利用 PeopleSoft 的已知漏洞及零時差漏洞發動攻擊。新揭露的漏洞編號為 CVE-2026-35273,影響 PeopleSoft Enterprise PeopleTools 8.61 與 8.62,以及 PeopleSoft Enterprise Application 。此漏洞可讓未經驗證的使用者遠端濫用,引發遠端程式碼執行 (remote code execution, RCE) 。
不過甲骨文這次釋出的看來僅為暫時性緩解方案,而非完整修補程式。
ShinyHunters 向媒體 BleepingComputer 表示,他們已成功攻擊上百家組織,大部分是教育機構。諾丁漢大學遭公開的資料包含現任學生、校友與員工的個人資料、聯絡資料、學號、課程資料、 IP 及財務資料等。
甲骨文的資安公告並未說明 CVE-2026-35273 是否已遭攻擊,但公告中指出,導入緩解措施屬於「高優先性減緩風險措施」,強烈建議客戶立即採取行動,以解決已發現的資料曝露問題。
其他資安研究人員已證實攻擊確實發生,Mandiant 則將其描述為零時差攻擊。針對少部分仍使用過期版本的客戶,甲骨文建議升級至獲得支援的版本,並立即安裝所有重大修補程式更新。
這並非 ShinyHunters 第一次攻擊大型企業使用的應用系統。去年 10 月,ShinyHunters 利用外洩密碼存取了 LV 、思科、 Google 等大批企業使用的 CRM 系統 Salesforce,從中竊取公司或客戶資料並勒索贖款。
來源:SecurityWeek