https://www.informationsecurity.com.tw/seminar/2026_GOV/

新聞

Oracle 企業軟體兩項重大漏洞遭利用,波及日產汽車員工資料外洩

2026 / 07 / 06
編輯部
Oracle 企業軟體兩項重大漏洞遭利用,波及日產汽車員工資料外洩
Oracle 旗下多個企業軟體模組近期爆發重大資安事件,涉及 E-Business Suite 的付款處理模組與 PeopleSoft 人力資源系統,後者更已導致日產汽車(Nissan)現任與前任員工的敏感個人資料遭竊。

CVE-2026-46817:Oracle Payments 遭實際利用

威脅情報公司 Defused 近期警告,Oracle E-Business Suite(EBS)付款處理模組 Oracle Payments 的重大漏洞 CVE-2026-46817 已在 6 月底出現利用嘗試。

CVE-2026-46817 由不當權限管理、不當驗證,以及關鍵功能缺乏驗證等問題共同造成。Oracle 將其評定為易於利用的漏洞,未經驗證的攻擊者可透過 HTTP 進行遠端利用。該漏洞影響 Oracle E-Business Suite 12.2.3 至 12.2.15 版本,修補程式已於 2026 年 5 月底發布

Defused 指出,其 EBS 誘捕系統於 6 月 27 日記錄到該漏洞首次實際被利用,距 Oracle 於 5 月發布修補程式約六週,且當時尚未出現任何公開的概念驗證(PoC)程式碼。

此次活動疑似由單一來源發起,針對 Payments 元件進行未經驗證的檔案讀取,屬於具針對性的 PoC 行為,而非大規模掃描。攻擊目標為 Oracle Payments 檔案傳輸(File Transmission)元件中的 ibytransmit 端點;攻擊者直接呼叫 Oracle 內部 Java 函式並加以重定向,以讀取伺服器上的 /etc/passwd 檔案。同樣手法也可能被用來存取更敏感的設定檔,例如包含資料庫憑證、加密金鑰或支付處理器 API 金鑰的檔案。

CVE-2026-35273:日產汽車因 PeopleSoft 零日漏洞遭針對性攻擊

日產汽車於 6 月 26 日發布外洩通知,指出現任與前任員工的敏感個人資料可能已遭竊,影響範圍涵蓋美國、加拿大、墨西哥與巴西的員工。外洩資料可能包含社會安全碼、國家身分識別號碼、銀行帳戶資訊、財務與稅務資料,以及眷屬或受益人資訊。

攻擊者據稱透過日產用於薪資與人力資源管理的 Oracle PeopleSoft 漏洞 CVE-2026-35273 取得入侵入口。該漏洞為重大遠端程式碼執行漏洞,並以零日形式遭到利用。日產表示,Oracle 已通知其一場影響數百家公司的網路事件,且日產被特別鎖定為攻擊目標;外洩發生時間為 5 月 27 日至 6 月 9 日。

這波更大規模的攻擊活動與 ShinyHunters 勒索組織有關。該組織聲稱已攻擊逾百個組織,受害者多為大學院校;日產則是目前已知規模較大的企業受害者之一。Oracle 於攻擊發生後才發布帶外安全公告與緩解措施。

資料安全公司 Certes 技術長 Simon Pamplin 形容此事件為「影響數百個無關聯組織的大規模傷亡事件」,並警告在漏洞利用時間窗口內已遭竊取的資料,即使事後修補漏洞也無法挽回。

防護建議

針對 CVE-2026-46817,管理員應立即套用 Oracle 於 2026 年 5 月發布的關鍵安全性修補更新。在完成修補前,EBS 網頁介面應限制僅供內部網路存取,避免對外公開。資安團隊應將 5 月 28 日後仍未修補的任何對外 EBS 執行個體視為可能已遭入侵,並審查日誌中是否出現針對 /OA_HTML/ibytransmit 的可疑 POST 請求。若發現入侵跡象,應進行完整鑑識調查,並輪換該主機上儲存的所有憑證與金鑰。

針對 PeopleSoft 漏洞,日產提醒員工提高對釣魚攻擊的警覺、避免重複使用密碼,並啟用多重要素驗證(MFA)。日產也已限制薪資存取;員工須透過內部網路電腦或受安全保護的 VPN,才能查看薪資單或變更直接存款資訊。

本文轉載自 HelpNetSecurity、BleepingComputer。