기술 설명
Oracle PeopleSoft PeopleTools에는 인증 누락 취약점(CVSS 9.8)이 포함되어 있으며, 이를 통해 인증되지 않은 원격 공격자가 HTTP를 통해 PeopleSoft 인스턴스를 완전히 제어할 수 있습니다. CISA는 이를 2026년 6월 12일 알려진 악용 취약점 카탈로그에 추가했으며, 연방 기관의 수정 기한은 6월 15일입니다. ShinyHunters(Mandiant에서 UNC6240으로 추적됨)는 2026년 5월 27일부터 6월 9일까지 제로데이 익스플로잇으로 악용하여 100개 이상의 조직에서 300개 이상의 PeopleSoft 인스턴스를 손상시켰으며, 이 중 68%는 고등교육기관입니다. Nottingham 대학교는 454,600건의 학생 기록이 도용된 것으로 확인했습니다. Oracle은 6월 10일 긴급 공지사항을 발표했으며, 패치가 곧 출시될 것으로 예상됩니다.
공격 경로
PeopleSoft의 Environment Management 구성요소에 대한 인증되지 않은 HTTP 요청입니다. ShinyHunters는 CVE-2026-35273과 이전에 알려진 취약점을 결합하는 자동화된 'gadget chain' 도구를 개발하여 대규모 악용을 가능하게 했습니다. 측면 이동 스크립트는 기본 PeopleSoft 계정(psoft, oracle, linuxadm)으로 인증을 시도합니다.
영향받는 시스템
Oracle PeopleSoft PeopleTools 버전 8.61 및 8.62(그리고 잠재적으로 이전의 지원되지 않는 버전들). HR, 급여, 학생 기록 및 재정 지원 관리를 위해 기업, 대학 및 정부 기관 전역에서 사용됩니다.
완화 방안
oracle.com/security-alerts/alert-cve-2026-35273.html에 따라 Oracle의 긴급 완화 조치를 즉시 적용하세요. 연방 기관은 CISA BOD 26-04에 따라 6월 15일까지 준수해야 합니다. IOC 목록(azurenetfiles[.]net TLS 인증서에 연결된 IP 주소)을 네트워크 로그와 비교하여 확인하세요. 전체 패치 전까지 PeopleSoft의 Environment Management 구성요소를 내부 네트워크 액세스로 제한하세요.