สรุปสั้น

กลุ่มแฮ็กเกอร์ ShinyHunters ใช้ช่องโหว่ zero-day รหัส CVE-2026-35273 ที่มีความรุนแรงระดับ CVSS 9.8 ใน Oracle PeopleSoft Enterprise PeopleTools เพื่อเจาะเข้าระบบขององค์กรหลายแห่ง ขโมยข้อมูล แล้วเรียกค่าไถ่ ด้านบริษัท Mandiant ของ Google ติดตามกลุ่มนี้ภายใต้ชื่อ UNC6240 และระบุว่ากิจกรรมเกิดขึ้นระหว่างวันที่ 27 พฤษภาคม ถึง 9 มิถุนายน ซึ่ง Oracle เผยแพร่ประกาศแจ้งเตือนภัยคุกคาม advisory ในวันที่ 10 มิถุนายน จึงทำให้ช่องโหว่นี้เป็น zero-day ตลอดระยะเวลาที่ถูกโจมตี

มีองค์กรกว่า 100 แห่งที่ Mandiant แจ้งเตือน โดย 68% เป็นสถาบันอุดมศึกษา ส่วนใหญ่ในสหรัฐฯ และ University of Nottingham ในสหราชอาณาจักรเป็นหนึ่งในเหยื่อที่ได้รับการยืนยันแล้ว

กลุ่ม ShinyHunters ได้เผยแพร่ข้อมูลที่ขโมยมาบนเว็บไซต์รั่วไหล บริการ Have I Been Pwned ตรวจพบอีเมลที่ไม่ซ้ำกันราว 455,000 รายการในข้อมูลที่รั่ว พร้อมข้อมูลส่วนบุคคลอื่นๆ เช่น ชื่อ ที่อยู่ หมายเลขโทรศัพท์ หมายเลขพาสปอร์ต เชื้อชาติ และข้อมูลความพิการ ด้านมหาวิทยาลัยยืนยันว่าแฮ็กเกอร์เข้าถึง “ข้อมูลจำนวนมาก” ในระบบบันทึกข้อมูลนักศึกษา

รายละเอียดข่าว

เว็บไซต์ The Hacker News และ SecurityWeek รายงานเมื่อวันที่ 11 มิถุนายน พ.ศ. 2569 ว่า กลุ่ม ShinyHunters ใช้ช่องโหว่ที่ยังไม่ได้รับการแพตช์ใน Oracle PeopleSoft เพื่อเจาะเข้าระบบขององค์กรต่างๆ ขโมยข้อมูล แล้วเรียกร้องเงินเพื่อแลกกับการไม่เผยแพร่ข้อมูล

ช่องโหว่ CVE-2026-35273 เป็นบั๊ก Remote Code Execution (RCE) ใน PeopleSoft Enterprise PeopleTools ที่ได้รับคะแนน CVSS 9.8 จาก 10 ไม่ต้องการการล็อกอินหรือการโต้ตอบจากผู้ใช้ เพียงแค่มีสิทธิ์เข้าถึงเครือข่ายผ่าน HTTP ก็สามารถยึดเซิร์ฟเวอร์ได้ ช่องโหว่อยู่ในคอมโพเนนต์ Updates Environment Management ที่อยู่เบื้องหลัง Environment Management Hub (PSEMHUB) เวอร์ชันที่ได้รับผลกระทบคือ PeopleTools 8.61 และ 8.62 รวมถึงเวอร์ชันเก่าที่ไม่ได้รับการสนับสนุน

นาย Charles Carmakal หัวหน้าเจ้าหน้าที่เทคโนโลยีของบริษัท Mandiant ยืนยันว่าช่องโหว่ถูกใช้โจมตีจริง

การโจมตีถูกเปิดเผย เนื่องจากผู้โจมตีทิ้งอุปกรณ์โจมตีของตัวเองไว้บนช่องโหว่ระบบ

นักวิจัย @nahamike01 พบ open directory บนเซิร์ฟเวอร์ที่ใช้ Python SimpleHTTP บนพอร์ต 8888 ของ IP 5 ตัวที่ต่อเนื่องกัน เปิดเผยไฟล์ .bash_history, MeshCentral agent ที่ปลอมเป็นไบนารี Microsoft Azure และสคริปต์ lateral movement

สคริปต์ชื่อ [victim]_fanout.sh แพร่กระจายผ่าน SSH ด้วยการ spray username และ password ที่ hardcode ไว้ไปยัง host ภายใน แล้ววาง marker file ชื่อ README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT ในไดเรกทอรีของ PeopleSoft ข้อมูลถูกบีบอัดด้วย zstd แล้วส่งออกผ่าน SSH

University of Nottingham เป็นมหาวิทยาลัยวิจัยชั้นนำของสหราชอาณาจักรที่อยู่ในอันดับ 100 ของโลก มีนักศึกษากว่า 35,000 คนในวิทยาเขตสหราชอาณาจักร และมีวิทยาเขตต่างประเทศ ทั้งในจีนและมาเลเซีย มหาวิทยาลัยยืนยันว่ากำลังทำงานร่วมกับ Action Fraud, Information Commissioner’s Office และหน่วยงานกำกับดูแลอื่นๆ

รายละเอียดช่องโหว่

CVE-2026-35273 เป็นช่องโหว่ RCE ใน PeopleSoft Enterprise PeopleTools คอมโพเนนต์ Updates Environment Management ที่มีความรุนแรง CVSS 9.8 โจมตีได้ผ่านเครือข่ายโดยไม่ต้องล็อกอิน endpoint ที่ถูกโจมตีคือ /PSEMHUB/hub และ /PSIGW/HttpListeningConnector Oracle ระบุว่า PeopleTools เวอร์ชัน 8.61, 8.62 และเวอร์ชันเก่าที่ไม่ได้รับการสนับสนุนน่าจะได้รับผลกระทบเช่นกัน แนวทางแก้ไขเฉพาะหน้าคือปิดบริการ Environment Management Hub หรือบล็อกการเข้าถึง /PSEMHUB/* และ /PSIGW/HttpListeningConnector จากภายนอก Mandiant เตือนว่าการใช้ WAF body-inspection เพียงอย่างเดียวอาจถูก bypass ได้

ผลกระทบต่อไทย

Oracle PeopleSoft ถูกใช้ในสถาบันอุดมศึกษาและองค์กรขนาดใหญ่หลายแห่งในไทยสำหรับจัดการข้อมูลนักศึกษา ทรัพยากรบุคคล และการเงิน หากองค์กรใดใช้ PeopleTools เวอร์ชัน 8.61/8.62 และเปิดเผย Environment Management Hub ต่ออินเทอร์เน็ต ย่อมเสี่ยงต่อช่องโหว่นี้โดยตรง ข้อมูลที่รั่วไหลจาก University of Nottingham ยังอาจกระทบนักศึกษาไทยที่ศึกษาหรือเคยศึกษาที่มหาวิทยาลัยนี้รวมถึงวิทยาเขตในมาเลเซีย

คำแนะนำ

องค์กรที่ใช้ Oracle PeopleSoft ควรดำเนินการทันที: ปิดบริการ Environment Management Hub บน multi-server หรือลบ PSEMHUB application บน single-server บล็อกการเข้าถึง /PSEMHUB/* และ /PSIGW/HttpListeningConnector จากภายนอก ตรวจสอบ WebLogic access log สำหรับ POST request ที่ต้องสงสัย ค้นหาไฟล์ .jsp ที่ไม่คาดคิดภายใต้ PSEMHUB.war ตรวจสอบไฟล์ .xml ที่ถูกแก้ไขล่าสุดภายใต้ envmetadata/data/environment และเฝ้าระวังทราฟฟิก SMB พอร์ต 445 ขาออก ควรติดตั้งแพตช์จาก Oracle ทันทีที่พร้อมใช้งาน

แหล่งอ้างอิง