摘要:2026年6月10日,Oracle披露了PeopleSoft产品中一个CVSS 9.8的严重漏洞CVE-2026-35273。该漏洞允许未认证的远程攻击者通过特制请求在PeopleSoft服务器上执行任意代码。更令人担忧的是,该漏洞在Oracle发布安全公告之前就已经被攻击者在野利用。本文将深度拆解该漏洞的技术原理、攻击链路、实际影响以及企业级应急响应方案。
一、事件背景:企业级ERP的致命软肋
2026年6月10日,Oracle在其关键补丁更新(Critical Patch Update)中披露了一个令人震惊的漏洞——CVE-2026-35273。这不是一个普通的安全缺陷,而是一个影响Oracle PeopleSoft企业资源规划系统的未认证远程代码执行(RCE)漏洞,CVSS评分高达9.8分。
PeopleSoft是Oracle旗下最重要的企业级ERP产品之一,全球超过7000家大型企业和政府机构使用该系统管理人力资源、财务、供应链等核心业务流程。一旦PeopleSoft被攻破,攻击者不仅能获取敏感的企业数据,还可能以此为跳板横向渗透到整个企业内网。
更严重的是,该漏洞在Oracle官方发布公告之前就已经被攻击者积极利用。这意味着攻击者拥有了一个时间窗口,在这个窗口期内,所有未打补丁的PeopleSoft实例都处于完全暴露的状态。
据安全研究人员的监测,攻击活动在6月初就已经开始,比Oracle的补丁发布日早了至少一周。攻击者利用这个时间差对大量PeopleSoft服务器发起了自动化扫描和入侵尝试,重点目标是暴露在互联网上的PeopleSoft Internet Architecture(PIA)实例。
二、漏洞技术原理分析
2.1 PeopleSoft架构与攻击面
PeopleSoft应用基于Java EE架构,通过PeopleSoft Internet Architecture(PIA)提供Web访问。PIA由Web服务器(通常是Oracle WebLogic)、应用服务器和数据库服务器三层组成。攻击者主要面向的是暴露在公网的Web层。
CVE-2026-35273的核心问题出在PeopleSoft的集成网关(Integration Gateway)组件中。该网关负责处理PeopleSoft与外部系统之间的服务调用和数据交换,默认监听在PIA的Web端口上。
2.2 漏洞触发机制
该漏洞的根因在于PeopleSoft Integration Gateway在处理入站SOAP请求时,未能对XML外部实体(XXE)和反序列化数据进行充分验证。具体攻击链如下:
第一步:构造恶意SOAP请求。 攻击者向PeopleSoft Integration Gateway发送一个精心构造的SOAP消息,其中包含恶意的XML载荷。由于网关组件未对XML输入进行严格的安全过滤,攻击者可以注入任意XML内容。
第二步:Java反序列化利用。 恶意XML载荷触发PeopleSoft内部的Java对象反序列化流程。PeopleSoft在处理服务请求时大量使用了Java序列化技术,而反序列化过程中缺乏类型白名单校验,攻击者可以利用已知的”反序列化Gadget链”在服务器端执行任意代码。
第三步:获取系统权限。 成功利用后,攻击者获得的代码执行权限通常与运行PeopleSoft应用服务器的操作系统账户相同。在生产环境中,这往往是具有较高权限的服务账户。
2.3 为什么CVSS评分如此之高
CVE-2026-35273获得9.8分的原因很明确:
- 攻击复杂度低(AC: Low):不需要特殊条件,发送HTTP请求即可
- 无需认证(PR: None):不需要任何登录凭据
- 无需用户交互(UI: None):不需要受害者执行任何操作
- 影响范围大:完全影响系统机密性、完整性和可用性
这种”发送一个HTTP请求就能接管服务器”的漏洞,在企业级产品中属于最高威胁等级。
三、在野攻击活动分析
安全研究人员在Oracle发布公告前就观察到了针对该漏洞的扫描和利用活动。攻击特征包括:
扫描行为: 攻击者使用自动化工具大量扫描互联网上暴露的PeopleSoft PIA实例。扫描通常以/psc/、/psp/、/cs/等PeopleSoft特征路径为目标,通过响应头和页面内容识别PeopleSoft版本。
利用手法: 攻击者在确认目标后,向Integration Gateway端点发送恶意SOAP请求。Payload通常包含反弹Shell命令或远程下载脚本的指令,用于在服务器上建立持久化后门。
攻击者画像: 目前观察到的攻击活动呈现出勒索软件团伙的特征——快速扫描、自动化利用、植入后门后横向移动。这表明该漏洞已经被商业化运作的勒索软件团伙纳入了攻击武器库。
四、企业级应急响应方案
4.1 立即行动(24小时内)
第一步:资产盘点。 立即确认组织内所有PeopleSoft实例的位置、版本和暴露情况。使用以下方法快速识别暴露资产:
# 检查PeopleSoft实例是否暴露在公网
nmap -p 80,443,8000,8443,9080,9443 <目标网段> --script http-title | grep -i "peoplesoft\|sign"
第二步:应用Oracle补丁。 Oracle已在2026年6月的Critical Patch Update中修复了该漏洞。立即下载并应用对应版本的补丁包。
第三步:临时缓解措施。 如果无法立即打补丁,采取以下临时措施:
- 在WAF/反向代理层添加规则,拦截发送到Integration Gateway的异常SOAP请求
- 限制PeopleSoft Web层的网络访问,仅允许可信来源IP
- 禁用不使用的Integration Gateway服务端点
WAF规则示例:
# 阻止可疑的Integration Gateway请求
SecRule REQUEST_URI "@contains /PSIGW/PeopleSoftServiceListeningConnector" \
"id:1001,phase:1,deny,status:403,msg:'Potential CVE-2026-35273 exploitation attempt'"
SecRule REQUEST_BODY "@contains <java" \
"id:1002,phase:2,deny,status:403,msg:'Java deserialization pattern detected'"
4.2 短期加固(1周内)
- 全面日志审查: 检查PeopleSoft访问日志、WebLogic服务器日志和操作系统日志,查找6月初以来的可疑活动
- 凭据轮换: 重置所有PeopleSoft应用服务账户密码和数据库连接凭据
- 网络分段: 确保PeopleSoft服务器位于严格的网络分段策略内,限制其与其他内部系统的通信
4.3 长期防护策略
- 实施零信任架构: 不应将任何ERP系统直接暴露在互联网上。使用VPN或零信任网络访问(ZTNA)方案来保护PeopleSoft的远程访问
- 建立漏洞管理流程: Oracle每季度发布Critical Patch Update,建立标准化的补丁测试和部署流程
- 部署RASP防护: 在PeopleSoft应用层部署运行时应用自我保护(RASP)方案,检测和阻止反序列化攻击
五、结语
CVE-2026-35273再次证明了一个残酷的现实:企业级ERP系统正成为攻击者的首选目标。PeopleSoft、SAP、Workday这类系统承载着企业最核心的业务数据和流程,一旦被攻破,影响是灾难性的。
对于安全团队而言,这个事件带来了几个关键教训:第一,永远不要假设内部系统不会被扫描到——Shodan和Censys等搜索引擎让资产发现变得极其容易;第二,Oracle的季度补丁周期意味着漏洞披露后你可能有长达三个月的窗口期需要应对;第三,ERP系统的安全不应该只是IT部门的事,它应该上升到企业风险管理的层面。
行动建议: 如果你所在的组织运行了PeopleSoft系统,请在读完本文后立即检查系统版本和补丁状态。安全从来不是可以推迟的事项——攻击者不会等你准备好了才来。