기술 설명
Oracle PeopleSoft PeopleTools는 인증 누락 취약점(CVSS 9.8)을 포함하고 있으며, 이를 통해 인증되지 않은 원격 공격자가 HTTP를 통해 PeopleSoft 인스턴스를 완전히 제어할 수 있습니다. CISA는 2026년 6월 12일에 이를 알려진 악용 취약점 카탈로그에 추가했으며, 연방 수정 마감일은 6월 15일입니다. ShinyHunters(Mandiant에서 UNC6240으로 추적)는 2026년 5월 27일과 6월 9일 사이에 이를 제로데이로 악용하여 100+ 조직의 300+ PeopleSoft 인스턴스를 침해했습니다 — 68%가 고등교육 기관입니다. University of Nottingham은 454,600명의 학생 기록이 도용되었음을 확인했습니다. Oracle은 6월 10일에 정기 외 공지를 발표했으며, 패치는 곧 배포될 예정입니다.
공격 경로
PeopleSoft의 Environment Management 구성 요소에 대한 인증되지 않은 HTTP 요청입니다. ShinyHunters는 CVE-2026-35273을 이전에 알려진 취약점과 결합한 자동화된 'gadget chain' 도구를 개발하여 대규모 악용을 가능하게 했습니다. 횡적 이동 스크립트는 기본 PeopleSoft 계정(psoft, oracle, linuxadm)으로 인증을 시도합니다.
영향받는 시스템
Oracle PeopleSoft PeopleTools 버전 8.61 및 8.62(그리고 잠재적으로 더 이른 지원되지 않는 버전). 기업, 대학, 정부 기관 전역에서 인사, 급여, 학생 기록 및 재정 지원 관리에 사용됩니다.
완화 방안
oracle.com/security-alerts/alert-cve-2026-35273.html에 따라 Oracle의 정기 외 완화 조치를 즉시 적용하세요. 연방 기관은 CISA BOD 26-04에 따라 6월 15일까지 준수해야 합니다. 네트워크 로그에 대해 IOC 목록(azurenetfiles[.]net TLS 인증서와 관련된 IP 주소)을 확인하세요. 전체 패치가 적용될 때까지 PeopleSoft의 Environment Management 구성 요소를 내부 네트워크 액세스로 제한하세요.