ShinyHunters 利用 Oracle PeopleSoft 零時差漏洞大規模入侵：逾百機構受害，教育界首當其衝

這是一個嚴重的遠端程式碼執行（Remote Code Execution, RCE）漏洞，其可怕之處在於攻擊者不需要任何帳號密碼，也不需要與使用者互動，只要目標伺服器連上網路且存在此弱點，駭客就能從遠端直接操控系統。

報告指出，攻擊者鎖定的是環境管理中心（PSEMHUB）的端點，並向系統發送惡意的網頁請求。受影響的 PeopleTools 版本為 8.61 與 8.62。 攻擊行動自 2026 年 5 月 27 日持續至 6 月 9 日，全程處於零時差漏洞的保護傘下，甲骨文的修補程式完全來不及上線。

攻擊規模：逾百機構、三百個系統被滲透

Google 的調查揭露了 ShinyHunters 這波行動驚人的廣度與策略性。根據統計，駭客在短短兩週內，成功入侵了 約 300 個 PeopleSoft 系統執行個體，這些系統分散於全球 超過 100 個組織之中。Google 威脅情報小組在被動偵測到掃描與攻擊行為時，便已主動向超過一百間暴露於風險中的組織發出警訊。

攻擊目標的產業分布呈現極度不平衡的樣貌。約 68% 的受害者來自高等教育機構，主要是美國的大專院校與大學。

為了能在受害系統內站穩腳跟，駭客組織展現了高度的偽裝技巧。他們植入了一款名為 MeshCentral 的遠端管理工具，但將執行檔名稱巧妙地偽裝成微軟 Azure 的合法服務，並使用 azurenetfiles.net 等網域名稱架設指揮控制伺服器（C2），藉此躲避資安人員的耳目。 所有遭竊的資料，最終在 2026 年 6 月 9 日被放上 ShinyHunters 的公開洩密網站。

受害者現身說法：諾丁漢大學的慘痛教訓

英國的諾丁漢大學（University of Nottingham）是此次事件中第一個公開承認受害的機構，也成為外界一窺災情的具體案例。

校方證實，儲存學生檔案的系統確實遭到非法存取，並有「大量資料」外流，檔案數量高達數十 GB（Gigabyte）。 根據多方報導，外洩的個人與學術紀錄數量約在 454,600 至 500,000 筆之間，涵蓋在學生與校友。 雖然校方澄清教職員的銀行資料和研究數據並未遭竊，但學生的個人細節，包含住家地址、電話號碼、出生日期等，已在駭客的洩密網站上公開，甚至已被收錄進知名的「Have I Been Pwned」資料外洩查詢資料庫中。

修補緩不濟急：眼下應立刻採取的止血措施

甲骨文雖然已發布緊急安全警報，但遺憾的是，初始提供的對策僅是暫時的緩解方法，而非完整的軟體修補程式。Google 威脅情報小組與甲骨文的聯合建議，要求所有使用 PeopleSoft 的機構立即執行以下應變措施：

1. 停用或移除 EMHub 服務：若為多伺服器架構，應立即停用環境管理中心的服務；若是單一伺服器，則建議直接徹底移除 PSEMHUB 應用程式。
2. 封鎖外部連線：在防火牆或存取控制清單中，阻擋所有對 /PSEMHUB/* 和 /PSIGW/HttpListeningConnector 這兩個受攻擊端點的外部網路請求。
3. 檢查存取紀錄：資安人員應立刻檢查 WebLogic 伺服器的連線日誌，搜尋任何來自外部 IP 位址、送往上述特定端點的惡意請求，以判斷是否已遭入侵。
4. 搜尋後門網頁：檢查 PeopleSoft 的系統資料夾，特別是 /webserv/applications/peoplesoft/PSEMHUB.war/ 路徑下，是否有不應存在的 .jsp 後門檔案。
5. 監控入侵指標：檢查 PSEMHUB 相關目錄下是否出現名為 logs、persistantstorage 或 scratchpad 的可疑資料夾。同時，密切注意 PeopleSoft 伺服器是否向外發送 SMB 通訊協定的流量，這很可能代表資料正在被偷偷打包外傳。

資安專家提醒，上述步驟只是應急止血的「權宜之計」。使用 PeopleTools 8.61 與 8.62 版本的機構，務必將安裝甲骨文後續發布的正式安全更新列為最高優先事項，才能真正根絕再次遭到入侵的風險。