ShinyHunters Eksploitasi Zero-Day Oracle PeopleSoft, Godam Lebih 100 Organisasi

Oracle memberi kredit kepada penyelidik daripada inisiatif 'TrendAI Zero Day Initiative' dan 'TrendAI Research' kerana melaporkan kerentanan ini . Gabungan kritikal antara vektor serangan berasaskan rangkaian, kerumitan rendah, kekurangan pengesahan, dan tanpa interaksi pengguna menjadikan kelemahan ini sasaran utama untuk eksploitasi besar-besaran sebaik sahaja diketahui oleh penyerang.

Bagaimana Serangan Berlaku: Garis Masa Pra-Tampalan

Kempen ini dikaitkan oleh Mandiant (sebahagian daripada Google) kepada kumpulan yang dijejakinya sebagai UNC6240, yang dikenali umum sebagai ShinyHunters. Mandiant menetapkan tempoh eksploitasi aktif dari 27 Mei 2026 hingga 9 Jun 2026 .

Memandangkan Oracle tidak menerbitkan nasihat keselamatan atau mengeluarkan tampalan sehingga 10 Jun 2026, kerentanan itu kekal sebagai 'zero-day' sepanjang tempoh eksploitasi aktif . Dalam jangka masa itu, penyerang mengimbas internet untuk mencari contoh PeopleSoft yang terdedah dan menggunakan CVE-2026-35273 untuk mendapat tapak awal pada pelayan yang belum ditampalkan.

Setelah berada di dalam, kumpulan itu bergerak secara mendatar melalui persekitaran yang terjejas. Penyelidik keselamatan di Field Effect menyatakan bahawa penyerang menggabungkan CVE-2026-35273 dengan teknik berasaskan kelayakan dan kemungkinan kerentanan tambahan untuk memaksimumkan skala penjejasan dan mencari storan data bernilai tinggi . Pendekatan pelbagai peringkat ini membolehkan ShinyHunters mengekstrak lebih banyak data berbanding yang boleh diperoleh melalui eksploitasi 'smash-and-grab' yang mudah.

Selepas mengeksfiltrasi data, kumpulan tersebut mengikuti pendekatan lazim mereka: mereka menuntut bayaran daripada mangsa sambil mengugut untuk menerbitkan maklumat yang dicuri jika tuntutan tidak dipenuhi . Taktik mengutamakan peras ugut, bukannya penyebaran perisian tebusan, adalah ciri khas operasi ShinyHunters.

Data Apakah yang Dicuri

Data yang dicuri berbeza mengikut organisasi mangsa, tetapi beberapa kategori bernilai tinggi berulang dalam kalangan contoh yang dilanggar:

• Maklumat pengenalan diri (PII) pelajar, fakulti, dan kakitangan .
• Rekod akademik, data pendaftaran, dan maklumat bantuan kewangan, mencerminkan tumpuan tinggi mangsa dalam sektor pendidikan .
• Data HR dan gaji daripada penggunaan PeopleSoft perusahaan, termasuk maklumat faedah dan gaji .
• Fail konfigurasi sistem dalaman dan kelayakan yang digunakan penyerang untuk bergerak secara mendatar dalam persekitaran yang terjejas .

Keluasan data yang dicuri mencerminkan peranan PeopleSoft sebagai sistem ERP terpusat yang menggabungkan rekod sensitif merentasi operasi HR, kewangan, dan kampus . Satu penjejasan tunggal boleh mendedahkan bertahun-tahun data peribadi dan institusi.

Respons Luar Biasa Oracle

Pada 10 Jun 2026, Oracle melangkaui kitaran tampalan suku tahunan biasa mereka dan menerbitkan amaran keselamatan luar jadual untuk CVE-2026-35273 . Syarikat itu mengeluarkan tampalan untuk PeopleTools 8.61 dan 8.62 pada hari yang sama, satu langkah luar biasa yang mendesak, menonjolkan eksploitasi yang aktif dan meluas .

Nasihat Oracle adalah terus-terang: "Kerentanan ini boleh dieksploitasi dari jauh tanpa pengesahan. Jika berjaya dieksploitasi, kerentanan ini boleh mengakibatkan 'remote code execution'" . Syarikat itu menggesa semua pelanggan untuk menggunakan tampalan sebagai "langkah pengurangan risiko keutamaan tinggi" .

Amaran daripada CISA

Dua hari selepas nasihat Oracle, pada 12 Jun 2026, Agensi Keselamatan Siber dan Infrastruktur (CISA) A.S. menambah CVE-2026-35273 ke dalam katalog Kerentanan Tereksploitasi yang Diketahui (KEV) mereka . Penambahan ini mencetuskan tarikh akhir tampalan wajib untuk agensi persekutuan A.S. dan berfungsi sebagai isyarat kuat kepada semua organisasi, awam dan swasta, bahawa kelemahan itu sedang diserang secara aktif dan meluas.

Pusat Keselamatan Siber Kanada juga mengeluarkan nasihat AV26-587 pada 11 Jun, memberi amaran tentang eksploitasi aktif dan mengarahkan pentadbir untuk segera merujuk kepada panduan Oracle . Respons kerajaan yang diselaraskan ini mencerminkan keterukan dan skala insiden tersebut.

Langkah Mitigasi Segera

Berdasarkan panduan daripada Oracle, CISA, Rapid7, dan vendor keselamatan lain, organisasi yang menjalankan PeopleSoft harus mengambil tindakan berikut tanpa berlengah:

1. Gunakan tampalan luar jadual Oracle pada PeopleTools 8.61 dan 8.62 dengan segera .
2. Periksa versi yang tidak disokong. Jika menjalankan versi di luar skop yang ditampalkan, rancang peningkatan kecemasan ke versi yang disokong sebelum menampalkan.
3. Jalankan semakan forensik pada pelayan aplikasi dan pangkalan data PeopleSoft untuk mengesan tanda kewujudan 'web shell', skrip tidak sah atau alat pembuangan kelayakan .
4. Tukar semua kelayakan yang disimpan dalam atau boleh diakses dari persekitaran PeopleSoft, termasuk akaun perkhidmatan dan rentetan sambungan pangkalan data .
5. Sekat akses rangkaian ke antara muka HTTP/HTTPS PeopleSoft (port 80 dan 443) daripada internet jika boleh, atau letakkannya di belakang VPN .
6. Pantau pemindahan data keluar yang luar biasa yang berpunca dari pelayan PeopleSoft—pemindahan besar ke alamat IP luaran yang tidak dikenali adalah petunjuk kukuh pengeksfiltratan .

Petunjuk Aktiviti Pencerobohan (IoC)

IoC yang diterbitkan masih berkembang seiring siasatan berterusan. Walau bagaimanapun, beberapa kategori petunjuk telah muncul daripada laporan awal:

• Permintaan HTTP tidak sah yang mensasarkan titik akhir Pengurusan Persekitaran Kemas Kini dalam PeopleTools .
• 'Web shell' atau fail skrip yang tidak dijangka muncul pada pelayan aplikasi PeopleSoft .
• Peristiwa pengesahan luar biasa daripada alamat IP yang tidak dikenali atau akaun perkhidmatan yang jarang log masuk .
• Pemindahan data keluar yang besar dari pelayan pangkalan data PeopleSoft ke destinasi luaran .
• Akaun perkhidmatan atau tugas berjadual yang baru dicipta pada pelayan yang terjejas .

Alamat IP khusus yang dikawal penyerang juga telah diterbitkan—contohnya, Pathlock melaporkan sambungan dari 142.11.200.186–190, 108.174.202.99, dan 176.120.22.24—serta fail tebusan bernama README-IF-... yang harus dicari oleh organisasi dalam log PeopleSoft mereka .

ShinyHunters dan Sektor Pendidikan: Corak Berulang

Kempen Oracle PeopleSoft ini bukanlah sesuatu yang luar biasa bagi ShinyHunters. Kumpulan ini mempunyai keutamaan yang didokumentasikan dengan baik terhadap sasaran pendidikan, didorong oleh beberapa faktor strategik:

• Set data yang kaya dan terkumpul. Universiti dan kolej menjalankan penggunaan PeopleSoft secara besar-besaran yang menggabungkan rekod peribadi, akademik dan kewangan selama berdekad melibatkan ratusan ribu individu .
• Kitaran tampalan yang perlahan. Institusi pengajian tinggi sering menjalankan persekitaran PeopleSoft yang sangat disesuaikan dengan kitaran kemas kini yang tidak konsisten dan tertangguh, menjadikan mereka sasaran mudah untuk sebarang kerentanan yang dijadikan senjata .
• Peras ugut, bukan perisian tebusan. ShinyHunters memberi tumpuan kepada kecurian data dan peras ugut daripada penyebaran perisian tebusan, model yang menghasilkan pulangan tinggi apabila data yang dicuri cukup sensitif untuk menuntut bayaran .
• Pengimbasan oportunistik besar-besaran. Kumpulan itu mengimbas secara meluas seluruh sektor dan bukannya menyasarkan individu bernilai tinggi tertentu, teknik yang memaksimumkan jejak mereka apabila kerentanan kritikal seperti CVE-2026-35273 muncul .

Kempen Jun 2026 ini mengikuti serangan ShinyHunters terdahulu ke atas universiti dan platform teknologi pendidikan, di mana kumpulan itu mencuri berjuta-juta rekod dan menjualnya di forum web gelap. Gabungan kelemahan RCE zero-day dalam PeopleTools dan sektor mangsa yang mempunyai jurang keselamatan berterusan ternyata amat berkesan.

Bagi organisasi yang masih menilai pendedahan mereka, keutamaan segera adalah menampal. Di luar itu, insiden ini berfungsi sebagai peringatan bahawa platform ERP berskala besar memerlukan pertahanan berlapis, pemantauan, dan keupayaan tindak balas pantas yang sama seperti mana-mana perkhidmatan kritikal yang terdedah kepada internet.