Penjelasan teknis
Oracle PeopleSoft PeopleTools mengandung kerentanan autentikasi yang hilang (CVSS 9.8) yang memungkinkan penyerang jarak jauh tanpa autentikasi mengambil kontrol penuh atas instans PeopleSoft melalui HTTP. CISA menambahkan ini ke katalog Known Exploited Vulnerabilities pada 12 Juni 2026 dengan batas waktu remediasi federal 15 Juni. ShinyHunters (dilacak sebagai UNC6240 oleh Mandiant) mengeksploitasi ini sebagai zero-day antara 27 Mei dan 9 Juni 2026, mengompromi 300+ instans PeopleSoft di seluruh 100+ organisasi — 68% di pendidikan tinggi. University of Nottingham mengkonfirmasi 454.600 catatan siswa dicuri. Oracle mengeluarkan advisory out-of-band pada 10 Juni; patch diharapkan segera.
Vektor serangan
Permintaan HTTP tanpa autentikasi ke komponen Environment Management PeopleSoft. ShinyHunters mengembangkan tooling 'gadget chain' otomatis yang menggabungkan CVE-2026-35273 dengan kerentanan yang sebelumnya diketahui, memungkinkan eksploitasi skala besar. Skrip pergerakan lateral mencoba autentikasi dengan akun PeopleSoft default (psoft, oracle, linuxadm).
Sistem yang terdampak
Versi Oracle PeopleSoft PeopleTools 8.61 dan 8.62 (dan potensial versi sebelumnya yang tidak didukung). Digunakan secara global untuk manajemen HR, penggajian, catatan siswa, dan manajemen beasiswa di seluruh perusahaan, universitas, dan lembaga pemerintah.
Mitigasi
Terapkan mitigasi out-of-band Oracle segera sesuai oracle.com/security-alerts/alert-cve-2026-35273.html. Lembaga federal harus mematuhi hingga 15 Juni sesuai CISA BOD 26-04. Periksa daftar IOC (alamat IP yang terkait dengan sertifikat TLS azurenetfiles[.]net) terhadap log jaringan. Batasi akses komponen Environment Management PeopleSoft ke akses jaringan internal sampai patch penuh diterapkan.