Oracle PeopleSoft 零日漏洞釀百家機構資料外洩：ShinyHunters 鎖定企業軟體，補丁難產揭資安深層難題

一場針對企業級軟體的資安風暴正席捲全球，駭客組織 ShinyHunters 成功利用 Oracle PeopleSoft 軟體中一個尚未修補的零日漏洞（CVE-2026-35273），入侵了全球超過百家機構，其中近三分之二為大學院校，導致數十萬筆學生個資外洩。儘管 Oracle 已發出緊急警告，但關鍵的修補程式至今仍未釋出，讓受害者暴露在持續的風險之中。

這個被標記為 CVSS 9.8 的嚴重漏洞，允許攻擊者在無需任何身份驗證的情況下，透過網路進行遠端利用。資安公司 Google Mandiant 證實，Oracle 公開的漏洞正是 ShinyHunters 正在利用的弱點，並已向全球逾百家機構發出通知，其中多數位於美國。

學生個資大量外洩，大學成主要受害者

據 ShinyHunters 組織成員向 TechCrunch 透露，他們竊取了「數十萬筆學生紀錄」，內容包含學生的姓名、住家地址、電話、電子郵件、出生日期、性別、種族、入學狀態、平均成績（GPA）以及學生證號碼等敏感資訊。英國的諾丁漢大學（University of Nottingham）已被點名為受害機構之一。

「儘管部分組織成功阻擋了攻擊活動或修復了漏洞，但其他組織仍遭受入侵，導致被竊取的資料在 ShinyHunters 的資料外洩網站上發布。」

Mandiant 在其報告中指出，部分受害者雖成功抵禦或修復漏洞，但仍有許多機構的資料遭到竊取並被公開於 ShinyHunters 的資料外洩網站上。Oracle 對此事件並未回應 TechCrunch 的置評請求。

PeopleSoft 是一款廣泛應用於大型企業與大學的軟體，負責管理薪資、人力資源及學生紀錄。此次漏洞影響 PeopleTools 8.61 和 8.62 版本。ShinyHunters 透過一系列舊有漏洞與零日漏洞的組合攻擊，鎖定雲端與地端部署的實例，總計在逾百家機構中，約有 300 台伺服器遭到入侵。

ShinyHunters 鎖定企業軟體漏洞，攻擊模式產業化

這並非 ShinyHunters 首次發動此類攻擊。過去一年來，該組織一直鎖定使用相同企業軟體的機構。他們先找出軟體中的弱點，接著搜尋所有運行該軟體的公司，竊取資料後勒索贖金。先前的攻擊行動曾鎖定使用 Salesforce、Gainsight 以及教育平台 Instructure 的企業。

今年稍早，Instructure 在兩度遭駭後，已向駭客支付贖金。ShinyHunters 也曾竄改使用 Instructure 旗下 Canvas 入口網站的學校登入頁面。而本次針對 PeopleSoft 的攻擊，是該組織迄今規模最大的一次，且仍在持續進行中。

零日漏洞成資安深層難題：AI 加速攻擊，防禦者難以追趕

面對嚴峻情勢，Oracle 建議客戶採取緩解措施，但並未說明何時能提供修補程式。對於所有運行 PeopleSoft 的組織而言，當務之急是立即應用 Oracle 建議的緩解措施，並限制 PeopleSoft 伺服器對外網路的存取。

這次事件也再次敲響警鐘，提醒企業軟體產業一個不斷重演的教訓：當一個關鍵的零日漏洞影響數百家大型機構所使用的軟體時，攻擊者只需找到一次，就能造成大規模破壞。隨著人工智慧（AI）技術的發展，漏洞發現的成本正變得越來越低，然而，負責修補這些漏洞的防禦者卻未能同步加快速度。像 ShinyHunters 這樣的駭客組織，正將漏洞從揭露到修復之間的空窗期，轉化為工業化的攻擊機會，這對全球企業與機構的資安防禦構成深層挑戰。