Oracle под огнём: три критические уязвимости с оценкой 9.8, которые уже эксплуатируются

Компания Defused Cyber в понедельник сообщила о том, что зафиксировала активную эксплуатацию уязвимости CVE-2026-46817 в Oracle E-Business Suite — и произошло это прямо в выходные, на их собственных honeypot-системах, имитирующих реальную инфраструктуру. Oracle выпустила патч в рамках Critical Security Patch Update ещё месяц назад, NIST успел внести запись в National Vulnerability Database, однако кто именно стоит за атаками, каким именно способом они проводятся и носит ли кампания целенаправленный или оппортунистический характер — всё это пока неизвестно.
Oracle под огнём: три критические уязвимости с оценкой 9.8, которые уже эксплуатируются
Изображение носит иллюстративный характер

CVE-2026-46817 затрагивает модуль Oracle Payments в версиях с 12.2.3 по 12.2.15. CVSS-оценка — 9.8, то есть критический уровень. Суть проблемы: некорректное управление привилегиями в сочетании с обходом аутентификации. Неаутентифицированный злоумышленник может получить доступ через HTTP и полностью захватить контроль над Oracle Payments. Публичного proof-of-concept не существует — что само по себе тревожный сигнал: атаки идут, а значит, кто-то разработал эксплойт самостоятельно и не торопится его раскрывать.
Это не первый раз, когда Oracle E-Business Suite оказывается под ударом. Уязвимость CVE-2025-61882 с той же оценкой 9.8 была раскрыта в конце прошлого года, однако группировка Cl0p эксплуатировала её ещё с августа 2025 года. То есть задолго до публичного раскрытия злоумышленники уже работали с этим вектором атаки. Этот паттерн — когда реальные атаки опережают официальное признание проблемы на месяцы — становится нормой, а не исключением.
Параллельно с ситуацией вокруг E-Business Suite разворачивается история с Oracle PeopleSoft Suite. Уязвимость CVE-2026-35273 — zero-day с той же оценкой 9.8 — связана с полным отсутствием аутентификации. Патч был выпущен в начале этого месяца. За атаками стоит группировка ShinyHunters, известная также под идентификатором SHADOW-AETHER-015, специализирующаяся на краже данных и вымогательстве.
Именно CVE-2026-35273 вызывает наибольшее беспокойство у специалистов с технической точки зрения. Аналитики Trend Micro установили, что эксплойт обладает почти полным отсутствием видимости для защитных инструментов. Вредоносный код выполняется через Java XMLDecoder прямо внутри Java Virtual Machine сервера приложений. Срабатывание происходит не при входящем HTTP-запросе, а при перезапуске сервера. Дочерний процесс не требуется, исходящего сигнала нет — система выглядит абсолютно штатно для любого, кто за ней наблюдает снаружи.
Джейк Нотт, principal security researcher компании watchTowr, описал механику атаки подробнее. По его словам, это не банальная однозапросная уязвимость: атака строится как цепочка нескольких слабых мест, которые в совокупности дают нужный результат. Злоумышленник помещает вредоносный файл в систему, но тот не выполняется сразу — он ждёт следующего перезапуска сервера. Это говорит о глубоком понимании кодовой базы PeopleSoft и способности разрабатывать точечные инструменты под конкретную цель.
Среди подтверждённых жертв CVE-2026-35273 — Nissan. Автопроизводитель официально признал факт компрометации. Под угрозой оказались платёжные ведомости, банковские реквизиты, номера социального страхования и другие персональные и финансовые данные сотрудников компании в США, Канаде, Мексике и Бразилии.
Три уязвимости — CVE-2026-46817, CVE-2025-61882 и CVE-2026-35273 — объединяет не только одинаковая оценка CVSS 9.8. Все они активно эксплуатируются или эксплуатировались реальными угрозами: неизвестным актором, группировкой Cl0p и ShinyHunters соответственно. Oracle E-Business Suite и PeopleSoft Suite атакуются одновременно, причём по разным векторам и с разной степенью изощрённости.
Джейк Нотт формулирует рекомендацию жёстко: не ждать подтверждения факта взлома, а исходить из того, что компрометация уже произошла. Немедленно запускать процессы реагирования на инциденты. Разбираться с тем, был ли получен доступ до применения патчей, какие данные затронуты и не закрепился ли злоумышленник в инфраструктуре. Его же слова о темпе атак: угрозы эксплуатируют уязвимости быстрее, чем когда-либо раньше. Организации, работающие на непропатченных системах Oracle, должны относиться к себе как к уже скомпрометированным — потому что, по всей видимости, так оно и есть.


Новое на сайте

20204Дыра в Argo CD: почему 18 месяцев без патча — это катастрофа? 20203WhatsApp запускает имена пользователей: теперь можно общаться без раскрытия номера... 20202Почему США пришлось заморозить сильнейший ИИ Anthropic — и чего это стоило отрасли? 20201Ousaban: бразильский банковский троян, который охотится на клиентов испанских и... 20200Три новые группировки вымогателей: Citrix Bleed 2, уязвимые драйверы и атаки через... 20198Тупиковый майнинг биткоина тратит столько энергии, сколько вырабатывают все гэс Швейцарии... 20197DuneSlide: как два скрытых промпта позволяли захватить машину разработчика через Cursor 20196Уязвимость в Progress Kemp LoadMaster: кто уже пытается взломать ваш балансировщик? 20194Критическая уязвимость в SimpleHelp позволяет красть данные из облаков, кошельков и... 20193Ультрабыстрые лазеры поместились на чип: как журналистика о науке работает без самой науки 20192Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с... 20191Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не...
Ссылка