日产确认Oracle0-Day攻击后发生数据泄露

admin 2026-07-03 05:21:55 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 日产因OraclePeopleSoft零日漏洞遭ShinyHunters攻击致数据泄露,影响多国员工信息。该CVSS9.8级SSRF漏洞在补丁前已被广泛利用。建议企业及时修补,限制核心系统访问并增加认证层,提供监控服务以应对威胁。 综合评分: 70 文章分类: 漏洞分析,威胁情报,应急响应,数据泄露,漏洞预警


cover_image

日产确认 Oracle 0-Day攻击后发生数据泄露

亮哥亮哥 亮哥亮哥

信安社群

2026年7月1日 17:30 广东

在小说阅读器读本章

去阅读

请点击上方蓝色的【#公众号信安社群#】微信公众号一键关注!

日产美洲官方确认,在四个国家发生了一起影响现任和前任员工的数据泄露事件,原因是威胁行为者利用了 Oracle PeopleSoft 软件中的关键零日漏洞,该活动被归因于勒索组织 ShinyHunters。

该攻击源自 CVE-2026-35273,这是一个 CVSS 9.8 级未认证的服务器端请求伪造(SSRF)远程代码执行(RCE)漏洞,存在于 Oracle PeopleSoft PeopleTools 8.61 和 8.62 版本的更新环境管理(PSEMHUB)组件中。

该漏洞无需认证,无需用户交互,且可通过纯 HTTP 被利用,任何拥有网络覆盖的攻击者都能实现远程代码的完全执行。

甲骨文于 2026 年 6 月 10 日发布了紧急带外安全补丁,该漏洞仅两天后被加入 CISA 的已知被利用漏洞(KEV)目录。

Mandiant 和谷歌的威胁情报组(GTIG)将该活动归功于 UNC6240(ShinyHunters), 一个以财务为目的的网络犯罪组织,也被称为 Bling Libra。

早在 2026 年 5 月 27 日,即甲骨文发布公告前两周多,就已发现利用利用,该组织利用自动化攻击脚本攻破了全球 100+个组织的 300 多个 PeopleSoft 实例。

根据向加州总检察长办公室提交的泄露通知 ,日产美洲确认其在更广泛的运动中被特别针对。

泄露窗口从 2026 年 5 月 27 日至 6 月 9 日,可能暴露敏感员工数据,包括:

1、联系方式及银行信息。

2、社会保障号码(SSN)、社会保险号码(SIN)和国民身份识别号码。

3、财务和税务数据。

4、受益人信息。

据悉,该事件影响了美国、加拿大、墨西哥和巴西的现任及前任日产员工。

日产在收到通知后立即启动事件响应协议,联系外部网络安全专家并配合执法部门。

作为遏制措施,限制工资系统的访问,包括工资单查看和直接存款变更,仅限于企业网络计算机或安全 VPN 连接,并在处理工资请求前实施了额外的身份认证层。日产还在为受影响者提供免费的信用和暗网监控服务。

开发后活动包括 PeopleSoft 内部配置侦察、横向移动脚本以及利用 zstd 压缩进行数据外流。被攻破的服务器被标记为名为 README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT 的勒索信文件。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:信安社群 亮哥亮哥 亮哥亮哥《日产确认 Oracle 0-Day攻击后发生数据泄露》

评论:0   参与:  0