Oracle memperingatkan tentang kerentanan zero-day PeopleSoft Suite yang dilacak sebagai CVE-2026-35273 yang memungkinkan eksekusi kode jarak jauh yang tidak diautentikasi, dengan kelemahan yang secara aktif dieksploitasi dalam serangan pencurian data ShinyHunter.
Cacatnya ada pada Oracle PeopleSoft PeopleTools dan memiliki skor dasar CVSS 9,8.
“Peringatan Keamanan ini mengatasi kerentanan CVE-2026-35273 di Oracle PeopleSoft PeopleTools. Pelanggan Oracle PeopleSoft Enterprise Applications juga mungkin terpengaruh oleh kerentanan ini,” demikian bunyi nasihat Oracle yang baru.
“Kerentanan ini dapat dieksploitasi dari jarak jauh tanpa autentikasi. Jika berhasil dieksploitasi, kerentanan ini dapat mengakibatkan eksekusi kode jarak jauh.”
Oracle telah mengonfirmasi bahwa kerentanan zero-day memengaruhi PeopleSoft Enterprise PeopleTools, versi 8.61 dan 8.62, dan telah merilis mitigasi darurat untuk mengatasi kekurangan tersebut, dengan patch segera hadir.
Zero-day dieksploitasi dalam serangan pencurian data ShinyHunter
Meskipun Oracle belum menyatakan bahwa kerentanan ini dieksploitasi secara aktif, pengungkapannya dilakukan setelahnya BleepingComputer pertama kali melaporkan bahwa geng pemerasan ShinyHunters mengeksploitasi kerentanan zero-day PeopleSoft untuk membobol dan mencuri data.
BleepingComputer mengetahui bahwa ini adalah zero-day yang dieksploitasi dalam serangan tersebut.
Pada hari Selasa, BleepingComputer mengetahui bahwa Oracle PeopleSoft menjadi sasaran gelombang serangan pencurian data yang meninggalkan catatan tebusan yang konon berasal dari geng pemerasan ShinyHunters.
ShinyHunters adalah aktor ancaman terkenal yang biasanya melanggar instance cloud SaaS, CRM, dan platform perusahaan yang menampung data perusahaan dalam jumlah besar. Setelah mendapatkan akses ke suatu instance, mereka akan mendownload data dan meminta uang tebusan untuk mencegah kebocoran publik.
Kelompok ini telah dikaitkan dengan sejumlah serangan tingkat tinggi yang menargetkan Kepingan salju, Tenaga penjualanDan penyedia integrasi pihak ketiga selama setahun terakhir.
ShinyHunters mengkonfirmasi kepada BleepingComputer bahwa mereka berada di balik serangan ini, mengklaim menggunakan “rantai gadget” dari kelemahan lama dan zero-day untuk menembus instance PeopleSoft.
Dengan menggunakan kelemahan ini, pelaku ancaman diduga mencuri data dari 300 instance di lebih dari 100 organisasi.
Peneliti keamanan siber “michael r” menemukan beberapa direktori online terbuka yang berisi alat terkait serangan dan membagikan alamat IP berikut yang digunakan dalam serangan tersebut.
142.11.200[.]186 142.11.200[.]187 142.11.200[.]188 142.11.200[.]189 142.11.200[.]190 108.174.202[.]99 176.120.22[.]24
Sasarannya adalah sektor pendidikan
Mandian merilis laporan mengonfirmasi bahwa pelaku ancaman mengeksploitasi kerentanan Oracle PeopleSoft CVE-2026-35273 sebagai zero-day, terutama menargetkan organisasi di sektor pendidikan.
“Setelah menyadari adanya pemindaian dan eksploitasi aktif, kami memulai pemberitahuan ke lebih dari 100 organisasi global yang alamat IP-nya berkorelasi dengan titik akhir yang berpotensi rentan,” Mandiant melaporkan.
“Sebagian besar organisasi ini berbasis di Amerika Serikat, dan 68 persen beroperasi di sektor pendidikan tinggi.”
Laporan Mandiant juga memberikan rincian teknis tambahan tentang serangan tersebut, dengan mengatakan bahwa pelaku ancaman menggunakan server pementasan yang terekspos untuk menghosting layanan HTTP dan menggunakan agen manajemen jarak jauh MeshCentral khusus untuk berkomunikasi dengan infrastruktur yang dikendalikan penyerang yang menyamar sebagai layanan Microsoft Azure.
Para peneliti mengatakan para pelaku ancaman melakukan pengintaian terhadap contoh-contoh yang disusupi, memetakan konfigurasi PeopleSoft dan WebLogic, dan menggunakan skrip untuk berpindah secara lateral melintasi sistem internal menggunakan kredensial yang dicuri atau dikodekan secara keras.
Mandiant juga mengatakan para penyerang mengompresi data yang dieksfiltrasi dan akhirnya terhubung ke server di 176.120.22.24yang dikaitkan dengan situs kebocoran data publik ShinyHunters, membantu menghubungkan aktivitas tersebut dengan kelompok pemerasan.
Sebagai bagian dari panduannya, Mandiant menyarankan organisasi untuk membatasi akses ke titik akhir PeopleSoft yang rentan, meninjau log untuk penargetan permintaan mencurigakan /PSEMHUB/ Dan /PSIGW/HttpListeningConnectordan memeriksa server untuk mencari tanda-tanda penyusupan, termasuk:
- File webshell .jsp tak terduga di direktori aplikasi WebLogic
- File atau biner yang tidak sah dipentaskan dalam folder transaksi PSEMHUB
- Direktori mencurigakan seperti log, persistantstorage, atau scratchpad
- File XML yang baru saja dimodifikasi yang dapat digunakan untuk mempertahankan persistensi atau memicu eksekusi kode jarak jauh setelah restart
ShinyHunters baru-baru ini menargetkan sektor pendidikan di a serangan siber besar-besaran pada Instructure Canvas yang memungkinkan mereka mencuri 280 juta catatan data siswa, guru, dan staf. Instrukturkan nanti membayar uang tebusan untuk mencegah bocornya data yang dicuri.
BleepingComputer telah menghubungi Oracle dengan pertanyaan tentang kerentanan dan serangan tetapi belum menerima tanggapan.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
