Penjelasan teknis
Oracle PeopleSoft PeopleTools mengandung kerentanan autentikasi yang hilang (CVSS 9.8) yang memungkinkan penyerang jarak jauh yang tidak terautentikasi untuk menguasai sepenuhnya instance PeopleSoft melalui HTTP. CISA menambahkan ini ke katalog Known Exploited Vulnerabilities pada 12 Juni 2026 dengan batas waktu remediasi federal 15 Juni. ShinyHunters (dilacak sebagai UNC6240 oleh Mandiant) mengeksploitasi ini sebagai zero-day antara 27 Mei dan 9 Juni 2026, mengompromikan 300+ instance PeopleSoft di seluruh 100+ organisasi — 68% di pendidikan tinggi. University of Nottingham mengkonfirmasi 454.600 catatan siswa dicuri. Oracle mengeluarkan penasihat out-of-band pada 10 Juni; patch diharapkan segera.
Vektor serangan
Permintaan HTTP yang tidak terautentikasi ke komponen Environment Management PeopleSoft. ShinyHunters mengembangkan tooling 'gadget chain' otomatis yang menggabungkan CVE-2026-35273 dengan kerentanan yang sebelumnya diketahui, memungkinkan eksploitasi skala. Skrip pergerakan lateral mencoba autentikasi dengan akun PeopleSoft default (psoft, oracle, linuxadm).
Sistem yang terdampak
Versi Oracle PeopleSoft PeopleTools 8.61 dan 8.62 (dan berpotensi versi tidak didukung lebih awal). Digunakan secara global untuk manajemen HR, penggajian, catatan siswa, dan manajemen bantuan finansial di seluruh perusahaan, universitas, dan lembaga pemerintah.
Mitigasi
Terapkan mitigasi out-of-band Oracle segera sesuai oracle.com/security-alerts/alert-cve-2026-35273.html. Lembaga federal harus mematuhi pada 15 Juni sesuai CISA BOD 26-04. Periksa daftar IOC (alamat IP yang terkait dengan sertifikat TLS azurenetfiles[.]net) terhadap log jaringan. Batasi komponen Environment Management PeopleSoft untuk akses jaringan internal sambil menunggu patch penuh.