Oracle Rilis Mitigasi Darurat Terkait Kerentanan Zero-Day PeopleSoft yang Dieksploitasi Geng ShinyHunters
Perusahaan raksasa teknologi Oracle resmi menerbitkan peringatan keamanan darurat terkait adanya celah keamanan kritis berstatus zero-day pada sistem Oracle PeopleSoft Suite. Kerentanan yang dilacak sebagai CVE-2026-35273 ini memiliki skor keparahan tertinggi CVSS 9.8 dan diketahui sedang aktif dieksploitasi oleh kelompok pemeras siber ShinyHunters untuk melancarkan aksi pencurian data massal.
Celah keamanan ini bersumber di dalam komponen Oracle PeopleSoft PeopleTools dan memungkinkan penyerang jarak jauh yang tidak terotentikasi (unauthenticated remote code execution / RCE) menyusup serta mengeksekusi kode program jahat tanpa perlu memiliki hak akses atau akun log masuk valid pada peladen (server) target.
Detail Teknis dan Dampak Kerentanan CVE-2026-35273
Oracle mengonfirmasi bahwa kerentanan zero-day ini berdampak langsung pada perangkat lunak PeopleSoft Enterprise PeopleTools versi 8.61 dan 8.62. Mengingat dampaknya yang sangat fatal, Oracle telah meluncurkan panduan mitigasi darurat selagi merampungkan paket tambalan (patch) permanen yang akan dirilis dalam waktu dekat.
| Atribut Kerentanan | Karakteristik Teknis |
| Kode Pelacakan | CVE-2026-35273 |
| Skor Keparahan | CVSS Base Score: 9.8 (Kritis) |
| Metode Eksploitasi | Dapat dieksploitasi dari jarak jauh tanpa otentikasi (Remotely exploitable without authentication). |
| Vektor Dampak | Eksekusi Kode Jarak Jauh (RCE) dan kendali penuh atas sistem database perusahaan. |
Berdasarkan investigasi dari firma keamanan siber Mandiant, kelompok ShinyHunters memanfaatkan celah ini sebagai bagian dari taktik gadget chain (merangkai kerentanan lama dan baru) untuk menerobos sistem. Tercatat, aktor ancaman ini telah berhasil membobol 300 instance PeopleSoft milik lebih dari 100 organisasi di seluruh dunia dan meninggalkan catatan tebusan (ransom notes).
Sektor Pendidikan Tinggi Jadi Target Utama
Laporan forensik dari Mandiant mengungkapkan fakta bahwa peretas secara agresif membidik institusi pendidikan tinggi (universitas). Hasil pemindaian aktivitas mendeteksi bahwa sebagian besar organisasi yang terdampak berbasis di Amerika Serikat, di mana 68 persen di antaranya merupakan institusi sektor pendidikan.
Modus operandi yang digunakan oleh ShinyHunters dalam kampanye ini meliputi beberapa tahapan berikut:
- Penyamaran Infrastruktur: Peretas menyusup ke peladen pementasan (staging servers) dan memasang agen manajemen jarak jauh kustom MeshCentral yang menyamar sebagai layanan Microsoft Azure resmi.
- Pergerakan Lateral: Setelah masuk ke sistem, peretas memetakan konfigurasi PeopleSoft dan WebLogic, lalu menggunakan skrip otomatis untuk bergerak secara lateral ke sistem internal lain menggunakan kredensial curian atau kata sandi yang tertanam keras (hardcoded).
- Eksfiltrasi Data: Data akademik dan keuangan yang krusial dikompresi, lalu dikirim keluar menuju peladen dengan alamat IP
176.120.22.24, yang divalidasi terikat langsung dengan situs pembocor data (leak site) milik kelompok ShinyHunters.
Sebelumnya, kelompok ini juga melancarkan serangan siber serupa yang melumpuhkan Learning Management System (LMS) Canvas milik Instructure, yang berujung pada bocornya 280 juta data mahasiswa dan staf pengajar di berbagai universitas.
Panduan Mitigasi dan Indikator Kompromi (IoC)
Untuk mengamankan sistem sebelum patch resmi dirilis, Mandiant dan Oracle mendesak para administrator jaringan dan TI korporat untuk segera membatasi akses ke titik akhir (endpoints) PeopleSoft yang terhubung ke internet, memeriksa log aktivitas untuk mendeteksi permintaan mencurigakan yang mengarah ke direktori /PSEMHUB/ dan /PSIGW/HttpListeningConnector, serta memeriksa tanda-tanda infeksi berikut:
- Keberadaan Webshell: Temuan berkas berekstensi
.jspyang tidak dikenal di dalam direktori aplikasi WebLogic. - Berkas Tidak Sah: Adanya berkas atau binari mencurigakan yang diletakkan di dalam folder transaksi PSEMHUB.
- Direktori Asing: Munculnya folder baru dengan nama seperti
logs,persistantstorage, atauscratchpad. - Modifikasi File XML: Berkas XML yang baru saja diubah tanpa dokumentasi, yang biasanya digunakan peretas untuk mempertahankan akses (persistence) setelah sistem dinyalakan ulang.
Peneliti keamanan siber juga merilis daftar alamat IP yang terkonfirmasi digunakan oleh penyerang untuk melakukan pemindaian massal terhadap server PeopleSoft yang rentan:
142.11.200.186sampai142.11.200.190108.174.202.99176.120.22.24
Sumber: Mandiant Threat Intelligence Report
