CISA đã bổ sung một lỗ hổng nghiêm trọng trên Oracle PeopleSoft, được theo dõi với mã định danh CVE-2026-35273, vào danh mục Các lỗ hổng đã được Khai thác Biết đến (KEV), xác nhận việc bị khai thác tích cực trong thực tế. Lỗ hổng này ảnh hưởng đến Oracle PeopleSoft Enterprise PeopleTools và cho phép kẻ tấn công chưa xác thực giành quyền kiểm soát hoàn toàn các hệ thống bị ảnh hưởng.
Phân tích chi tiết về lỗ hổng CVE-2026-35273
Phân loại lỗ hổng và cơ chế khai thác
Lỗ hổng được phân loại theo CWE-306 (Missing Authentication for Critical Function), cho thấy sự thiếu sót trong việc thực thi các cơ chế xác thực cho các hoạt động nhạy cảm. Điều này cho phép kẻ tấn công từ xa thực thi các chức năng quan trọng mà không cần thông tin xác thực hợp lệ, dẫn đến khả năng chiếm quyền điều khiển hệ thống hoàn toàn.
Ảnh hưởng của việc khai thác
Theo CISA, lỗ hổng này đã được khai thác trong các chiến dịch ransomware, gây ra những lo ngại đáng kể cho các tổ chức sử dụng môi trường PeopleSoft. Mặc dù các phương pháp khai thác kỹ thuật chi tiết còn hạn chế, bản chất của lỗ hổng cho thấy kẻ tấn công có thể truy cập từ xa các chức năng quản trị được phơi bày trên Internet. Oracle PeopleSoft Enterprise PeopleTools được sử dụng rộng rãi cho các ứng dụng lập kế hoạch nguồn lực doanh nghiệp (ERP), biến nó thành mục tiêu giá trị cao cho các tác nhân đe dọa.
Hậu quả tiềm tàng
Việc khai thác thành công có thể cho phép kẻ tấn công truy cập dữ liệu tài chính, nhân sự và hoạt động nhạy cảm, triển khai các payload ransomware và thiết lập quyền truy cập dai dẳng trong mạng doanh nghiệp. Điều này nhấn mạnh tầm quan trọng của việc vá lỗi và giảm thiểu rủi ro.
Hành động của CISA và Khuyến nghị Bảo mật
Bổ sung vào danh mục KEV và Chỉ thị Hoạt động Ràng buộc
CISA đã bổ sung CVE-2026-35273 vào danh mục KEV vào ngày 12 tháng 6 năm 2026, với hạn chót khắc phục là ngày 15 tháng 6 năm 2026, theo Chỉ thị Hoạt động Ràng buộc (BOD) 26-04. Chỉ thị này nhấn mạnh việc ưu tiên các bản cập nhật bảo mật dựa trên rủi ro, đặc biệt đối với các lỗ hổng đang bị khai thác tích cực trong các cuộc tấn công mạng.
Khuyến nghị cho Tổ chức
Các tổ chức được khuyến cáo mạnh mẽ áp dụng các bản vá và biện pháp giảm thiểu do nhà cung cấp cung cấp ngay lập tức. Nếu không có bản vá, CISA khuyến nghị ngừng sử dụng các hệ thống bị ảnh hưởng hoặc triển khai các biện pháp kiểm soát bù đắp để giảm thiểu phơi nhiễm. Các nhóm bảo mật cũng nên đánh giá các tài sản hướng ra Internet để xác định các phiên bản PeopleSoft bị ảnh hưởng và hạn chế truy cập trái phép.
Phát hiện và Giảm thiểu Xâm nhập
Ngoài việc vá lỗi, CISA kêu gọi các tổ chức tuân theo “Yêu cầu Phân tích Pháp y” của họ để phát hiện sự xâm nhập tiềm tàng. Các chỉ số về việc khai thác có thể bao gồm hoạt động quản trị bất thường, các nỗ lực truy cập trái phép và các thay đổi hệ thống không mong muốn. Giám sát mạng và phân tích nhật ký là rất quan trọng để xác định các dấu hiệu xâm nhập ban đầu. Với việc sử dụng đã được xác nhận trong các chiến dịch ransomware, các chuyên gia phòng thủ cũng nên xem xét các chiến lược sao lưu, đảm bảo tính toàn vẹn của dữ liệu và triển khai các biện pháp phân đoạn để hạn chế sự di chuyển ngang.
Các biện pháp kiểm soát bổ sung
Xác thực đa yếu tố (MFA) và các biện pháp kiểm soát truy cập nghiêm ngặt có thể giảm thiểu hơn nữa bề mặt tấn công. Tuy nhiên, chúng có thể không giảm thiểu hoàn toàn lỗ hổng cụ thể này do bản chất bỏ qua xác thực của nó. Việc khai thác nhanh chóng CVE-2026-35273 làm nổi bật xu hướng liên tục của các tác nhân đe dọa nhắm vào các lỗ hổng phần mềm doanh nghiệp để giành quyền truy cập ban đầu. Các tổ chức sử dụng Oracle PeopleSoft được yêu cầu coi vấn đề này là ưu tiên hàng đầu và hành động ngay lập tức để ngăn chặn sự xâm nhập tiềm tàng.
Để tìm hiểu thêm về các lỗ hổng đã biết và đang bị khai thác, bạn có thể tham khảo CISA’s Known Exploited Vulnerabilities Catalog.
