Oracle PeopleSoft Dibobol Zero-Day, ShinyHunters Curi Data dari Ratusan Organisasi Global

CLB.my.id - Google melalui divisi Mandiant dan Google Threat Intelligence Group (GTIG) mengonfirmasi bahwa kerentanan zero-day pada Oracle PeopleSoft telah dieksploitasi oleh kelompok peretas ShinyHunters untuk mencuri data dari sejumlah organisasi di seluruh dunia. Serangan ini berlangsung setidaknya selama dua pekan sebelum Oracle merilis mitigasi darurat.

Kerentanan yang dilacak dengan kode CVE-2026-35273 merupakan celah kritis berjenis remote code execution yang dapat dieksploitasi tanpa autentikasi. Celah ini mempengaruhi PeopleSoft Enterprise PeopleTools versi 8.61 dan 8.62, serta berbagai aplikasi PeopleSoft Enterprise lainnya.

Kronologi Serangan

Menurut temuan Mandiant dan GTIG, aktivitas eksploitasi yang terkait dengan kerentanan ini terdeteksi antara 27 Mei hingga 9 Juni 2026. Google telah memberi tahu lebih dari 100 organisasi global tentang potensi paparan terhadap serangan tersebut.

Sebagian besar target berada di Amerika Serikat, dengan 68 persen di antaranya berasal dari sektor pendidikan tinggi. Meski beberapa organisasi berhasil memblokir serangan, yang lain mengalami kompromi sistem dan kehilangan data.

ShinyHunters, yang dilacak oleh Google dengan kode UNC6240, mengklaim telah menargetkan sekitar 30 organisasi. Kelompok ini mempublikasikan data yang dicuri di situs kebocoran data mereka pada 9 Juni 2026.

Modus Operandi Penyerang

Mandiant dan GTIG mengungkap bahwa penyerang menyiapkan lingkungan staging yang menghosting agen MeshCentral kustom yang menyamar sebagai endpoint cloud yang sah. Agen ini digunakan untuk menjalankan kueri perintah administratif dan menerapkan skrip lateral movement dan defacement kustom.

Skrip tersebut, yang dinamai sesuai dengan singkatan korban, memungkinkan penyerang berpindah secara horizontal di dalam jaringan korban dan mengakses data sensitif. Pendekatan ini menunjukkan tingkat sofistikasi yang tinggi dari kelompok ShinyHunters.

Respons Oracle dan Mitigasi

Oracle merilis advisory dan peringatan keamanan di luar jadwal reguler untuk CVE-2026-35273. Namun, hingga berita ini ditulis, patch permanen belum tersedia. Oracle hanya merilis mitigasi sementara yang dapat diterapkan oleh organisasi terdampak.

TrendAI, divisi bisnis enterprise dari Trend Micro, mengonfirmasi bahwa peneliti mereka yang pertama kali melaporkan kerentanan ini kepada Oracle. Saat ini, TrendAI melihat eksploitasi yang masih terbatas, tetapi investigasi mereka masih berlangsung.

Google sendiri telah membagikan rekomendasi remediasi dan penguatan keamanan, serta detail teknis tentang serangan dan indikator kompromi (IoC) untuk membantu organisasi mempertahankan diri.

Dampak bagi Sektor Pendidikan Tinggi

Dominasi sektor pendidikan tinggi dalam daftar target bukanlah kebetulan. Sistem PeopleSoft sangat umum digunakan oleh universitas dan institusi pendidikan untuk mengelola keuangan, sumber daya manusia, dan administrasi mahasiswa.

Banyak institusi pendidikan tinggi yang menjalankan sistem PeopleSoft dengan konfigurasi yang sudah tua dan jarang diperbarui, menjadikannya target empuk bagi penyerang yang mencari celah zero-day. Keterbatasan anggaran keamanan siber di sektor pendidikan turut memperparah kerentanan ini.

Pelajaran untuk Organisasi Indonesia

Meski sebagian besar target berlokasi di Amerika Serikat, organisasi Indonesia yang menggunakan produk Oracle PeopleSoft perlu waspada. Kerentanan zero-day bersifat global dan tidak mengenal batas geografis.

Organisasi yang menjalankan PeopleSoft Enterprise PeopleTools versi 8.61 atau 8.62 disarankan untuk segera menerapkan mitigasi yang dirilis Oracle, membatasi akses eksternal ke antarmuka manajemen, dan memantau indikator kompromi yang telah dipublikasikan oleh Google.

Insiden ini juga menjadi pengingat bahwa serangan zero-day dapat berlangsung selama berminggu-minggu sebelum terdeteksi. Investasi dalam kemampuan deteksi dan respons insiden yang memadai bukan lagi pilihan, melainkan kebutuhan mendesak bagi setiap organisasi yang bergantung pada infrastruktur TI enterprise.***