Serangan Zero-Day di Oracle PeopleSoft: Begini Kronologi, Dampak, dan Cara Antisipasinya
Kelompok ShinyHunters mengeksploitasi CVE 2026 35273, kerentanan remote code execution tanpa otentikasi dengan skor 9,8 di Oracle PeopleSoft PeopleTools 8.61 dan 8.62, membobol lebih dari 300 instansi di lebih dari 10... Pelaku mencuri data pribadi (PII), data akademik/mahasiswa, data SDM dan penggajian, serta krede...
What was the ShinyHunters zero-day campaign against Oracle PeopleSoft that breached over 100 organizations, what was the vulnerability (CVE-The ShinyHunters zero-day campaign exploited CVE-2026-35273 to breach over 300 Oracle PeopleSoft instances worldwide.
AI Perintah
Create a landscape editorial hero image for this Studio Global article: What was the ShinyHunters zero-day campaign against Oracle PeopleSoft that breached over 100 organizations, what was the vulnerability (CVE-. Article summary: Here is a comprehensive breakdown of the ShinyHunters campaign against Oracle PeopleSoft, based on current reporting.. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Android Headlines / Tech News / Hackers Exploited a Critical Oracle Zero-Day to Breach Over 100 Companies. # Hackers Exploited a Critical Oracle Zero-Day to Breach Over 100 Compani" source context "Oracle Zero-Day Exploited to Breach 100+ Companies" Reference image 2: visual subject "# Oracle PeopleSoft Zero Day Exploited by ShinyHunters. Oracle shipped emergency mitigations on June 11 for CVE-2026-35273 after Shi
openai.com
Pada awal Juni 2026, kelompok kejahatan siber yang dikenal sebagai ShinyHunters melancarkan salah satu kampanye zero-day paling berdampak tahun ini. Mereka mengeksploitasi celah kritis di aplikasi Oracle PeopleSoft untuk membobol lebih dari 100 organisasi di seluruh dunia. Serangan yang menyasar universitas dan perusahaan ini terjadi sebelum tambalan resmi tersedia, menegaskan risiko persisten yang dihadapi oleh pengguna aplikasi ERP skala besar dan betapa cepatnya aktor ancaman pemeras dapat mempersenjatai kerentanan yang belum terungkap.
Kerentanan yang menjadi pusat kampanye ini, CVE-2026-35273, memiliki skor dasar CVSS v3.1 sebesar 9,8 dan memungkinkan eksekusi kode jarak jauh (RCE) tanpa otentikasi serta tanpa interaksi pengguna . Artikel ini mengupas detail teknis celah keamanan tersebut, linimasa serangan, data yang dicuri, respons dari Oracle dan CISA, serta langkah-langkah praktis yang harus segera diambil oleh tim pertahanan.
Kerentanan: Apa Itu CVE-2026-35273?
CVE-2026-35273 berada di komponen Updates Environment Management pada Oracle PeopleSoft Enterprise PeopleTools, memengaruhi versi 8.61 dan 8.62. Celah ini tergolong sebagai Server-Side Request Forgery (CWE-918), yang dapat dipicu melalui protokol HTTP tanpa memerlukan otentikasi . Eksploitasi yang berhasil dapat memberikan kendali penuh kepada penyerang atas server PeopleSoft, sehingga kerahasiaan, integritas, maupun ketersediaan sistem terancam total .
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Apa jawaban singkat untuk "Serangan Zero-Day di Oracle PeopleSoft: Begini Kronologi, Dampak, dan Cara Antisipasinya"?
Kelompok ShinyHunters mengeksploitasi CVE 2026 35273, kerentanan remote code execution tanpa otentikasi dengan skor 9,8 di Oracle PeopleSoft PeopleTools 8.61 dan 8.62, membobol lebih dari 300 instansi di lebih dari 10...
Apa poin penting yang harus divalidasi terlebih dahulu?
Kelompok ShinyHunters mengeksploitasi CVE 2026 35273, kerentanan remote code execution tanpa otentikasi dengan skor 9,8 di Oracle PeopleSoft PeopleTools 8.61 dan 8.62, membobol lebih dari 300 instansi di lebih dari 10... Pelaku mencuri data pribadi (PII), data akademik/mahasiswa, data SDM dan penggajian, serta kredensial.
Apa yang harus saya lakukan selanjutnya dalam latihan?
CISA memasukkan kerentanan ini ke katalog Kerentanan Tereksploitasi (KEV) pada 12 Juni 2026.
Oracle menyebutkan bahwa kerentanan ini pertama kali dilaporkan oleh para peneliti dari TrendAI Zero Day Initiative dan TrendAI Research. Kombinasi faktor yang kritis—vektor serangan berbasis jaringan, kompleksitas rendah, tanpa otentikasi, dan tanpa interaksi pengguna—menjadikan celah ini sasaran empuk untuk eksploitasi massal begitu diketahui oleh peretas.
Kronologi Serangan: Sebelum Tambalan Tersedia
Berdasarkan analisis Google Mandiant, kampanye ini diatribusikan kepada aktor ancaman yang dilacak sebagai UNC6240, yang dikenal publik sebagai ShinyHunters. Mandiant mencatat jendela eksploitasi aktif berlangsung sejak 27 Mei hingga 9 Juni 2026.
Karena Oracle baru menerbitkan advisory keamanan beserta tambalannya pada 10 Juni 2026, kerentanan ini tetap berstatus zero-day sepanjang periode serangan . Selama periode kritis itu, penyerang memindai internet untuk mencari instansi PeopleSoft yang terekspos dan memanfaatkan CVE-2026-35273 guna mendapatkan pijakan awal di server-server yang belum ditambal.
Setelah berhasil masuk, para penyerang bergerak secara lateral di lingkungan yang terkompromi. Peneliti keamanan dari Field Effect mencatat bahwa ShinyHunters menggabungkan CVE-2026-35273 dengan teknik berbasis kredensial, dan kemungkinan kerentanan tambahan, untuk memaksimalkan skala kompromi serta menemukan penyimpanan data bernilai tinggi . Pendekatan multi-tahap ini memungkinkan mereka mencuri data yang jauh lebih banyak dibandingkan eksploitasi tunggal biasa.
Setelah mengeksfiltrasi data, ShinyHunters mengikuti pedoman operasi (playbook) mereka: menuntut pembayaran dari korban dan mengancam akan mempublikasikan data curian jika tuntutan tidak dipenuhi . Taktik yang mengutamakan pemerasan—bukan penyebaran ransomware—ini menjadi ciri khas operasi ShinyHunters.
Data Apa Saja yang Dicuri?
Data yang dicuri bervariasi antar organisasi korban, namun beberapa kategori bernilai tinggi muncul di hampir semua kasus:
Informasi identitas pribadi (PII) milik mahasiswa, dosen, dan staf .
Data akademik, data pendaftaran, dan informasi bantuan keuangan, sejalan dengan dominasi korban di sektor pendidikan .
Data SDM dan penggajian dari lingkungan PeopleSoft perusahaan, termasuk informasi gaji dan tunjangan .
Berkas konfigurasi sistem internal dan kredensial yang kemudian dipakai penyerang untuk bergerak lateral di dalam sistem yang sudah dibobol .
Cakupan data yang dicuri mencerminkan peran PeopleSoft sebagai sistem ERP terpusat yang mengagregasi catatan-catatan sensitif dari fungsi SDM, keuangan, dan operasional kampus . Sekali celah berhasil dieksploitasi, data personal dan institusional bertahun-tahun bisa langsung terekspos.
Respons Darurat Oracle
Pada 10 Juni 2026, Oracle menyimpang dari siklus tambalan triwulanannya dan menerbitkan advisory keamanan di luar jadwal (out-of-band) untuk CVE-2026-35273 . Oracle merilis tambalan untuk PeopleTools 8.61 dan 8.62 pada hari yang sama, sebuah langkah yang sangat mendesak dan menandakan betapa seriusnya eksploitasi yang tengah berlangsung .
Pernyataan dalam advisory Oracle cukup tegas: "Kerentanan ini dapat dieksploitasi dari jarak jauh tanpa otentikasi. Jika berhasil dieksploitasi, dapat menyebabkan eksekusi kode jarak jauh" . Oracle mendesak seluruh pelanggan untuk menerapkan tambalan sebagai "langkah mitigasi prioritas tinggi" .
CISA Turun Tangan
Dua hari setelah advisory Oracle, tepatnya pada 12 Juni 2026, Badan Keamanan Siber dan Infrastruktur AS (CISA) memasukkan CVE-2026-35273 ke dalam Katalog Kerentanan yang Diketahui Tereksploitasi (KEV). Penambahan ini memicu batas waktu wajib penambalan bagi lembaga federal AS dan menjadi sinyal kuat bagi semua organisasi, baik publik maupun privat, bahwa celah ini sedang dieksploitasi secara aktif dan luas.
Pusat Keamanan Siber Kanada (Canadian Centre for Cyber Security) juga menerbitkan advisory AV26-587 pada 11 Juni, memperingatkan tentang eksploitasi aktif dan mengarahkan administrator untuk segera merujuk ke panduan Oracle . Respons terkoordinasi berbagai lembaga pemerintah ini menegaskan tingkat keparahan dan skala insiden.
Langkah Mitigasi Mendesak
Berdasarkan panduan dari Oracle, CISA, Rapid7, dan vendor keamanan lainnya, organisasi yang menjalankan PeopleSoft harus segera mengambil langkah berikut:
Segera terapkan tambalan out-of-band Oracle untuk PeopleTools 8.61 dan 8.62 .
Periksa versi yang tidak didukung. Jika menggunakan versi di luar cakupan tambalan, segera rencanakan peningkatan darurat ke versi yang didukung sebelum menambal.
Lakukan tinjauan forensik pada server aplikasi dan basis data PeopleSoft, cari tanda-tanda keberadaan web shell, skrip tak dikenal, atau alat pencurian kredensial .
Putar (rotasi) semua kredensial yang tersimpan di dalam atau dapat diakses dari lingkungan PeopleSoft, termasuk akun layanan dan string koneksi basis data .
Batasi akses jaringan ke antarmuka HTTP/HTTPS PeopleSoft (port 80 dan 443) dari internet. Jika memungkinkan, tempatkan di balik VPN .
Pantau transfer data keluar (outbound) yang mencurigakan dari server PeopleSoft—transfer berukuran besar ke alamat IP eksternal asing merupakan indikator kuat adanya eksfiltrasi data .
Indikator Kompromi (IoC)
Io yang terpublikasi masih terus berkembang seiring investigasi. Namun, beberapa kategori indikator telah muncul dari laporan awal:
Permintaan HTTP tak sah yang menargetkan endpoint Updates Environment Management di PeopleTools .
Web shell atau berkas skrip mencurigakan yang muncul di server aplikasi PeopleSoft .
Peristiwa otentikasi tidak biasa dari alamat IP asing, atau akun layanan yang jarang login .
Transfer data keluar berukuran besar dari server basis data PeopleSoft ke tujuan eksternal .
Akun layanan atau tugas terjadwal baru di server yang terkompromi .
Alamat IP spesifik yang dikendalikan penyerang juga telah dipublikasikan—Pathlock melaporkan koneksi dari alamat IP seperti 142.11.200.186–190, 108.174.202.99, dan 176.120.22.24—serta berkas tebusan (ransom file) bernama README-IF-… yang harus dicari oleh organisasi di log PeopleSoft mereka .
ShinyHunters dan Sektor Pendidikan: Pola yang Berulang
Kampanye Oracle PeopleSoft ini bukanlah penyimpangan bagi ShinyHunters. Kelompok ini memiliki preferensi kuat pada target institusi pendidikan, yang didorong oleh beberapa faktor strategis:
Kumpulan data yang kaya dan teragregasi. Universitas menjalankan implementasi PeopleSoft masif yang menggabungkan data pribadi, akademik, dan keuangan selama puluhan tahun dari ratusan ribu individu .
Siklus penambalan yang lambat. Lembaga pendidikan tinggi sering menjalankan lingkungan PeopleSoft yang sangat dikustomisasi dengan jadwal pembaruan yang tidak konsisten dan tertunda, sehingga menjadi target empuk .
Pemerasan, bukan ransomware. ShinyHunters berfokus pada pencurian data dan pemerasan (extortion), bukan penyebaran ransomware. Model ini menghasilkan keuntungan tinggi ketika data yang dicuri cukup sensitif untuk memaksa pembayaran .
Pemindaian oportunistik massal. Kelompok ini memindai secara luas ke seluruh sektor daripada hanya menargetkan individu korban bernilai tinggi, teknik yang memperluas jejak mereka setiap kali kerentanan kritis seperti CVE-2026-35273 muncul .
Kampanye Juni 2026 melanjutkan serangan ShinyHunters terdahulu ke universitas dan platform teknologi pendidikan, di mana kelompok ini mencuri jutaan rekaman data dan menjualnya di forum-forum gelap. Kombinasi celah RCE zero-day di PeopleTools dan sektor korban dengan celah keamanan persisten terbukti sangat mematikan.
Bagi organisasi yang masih mengevaluasi paparan mereka, prioritas utama adalah penambalan. Insiden ini sekaligus menjadi pengingat bahwa platform ERP berskala besar memerlukan pertahanan berlapis, pemantauan ketat, dan kemampuan respons cepat yang sama seperti yang diterapkan pada layanan kritikal yang terekspos ke internet.
Comments
0 comments