피드로 돌아가기
The RegisterSecurity
원문 읽기
CVSS 9.8 PeopleSoft 0-day 취약점으로 100개 이상 기업 데이터 탈취
ShinyHunters hacked 100+ orgs by exploiting an Oracle PeopleSoft 0-day
AI 요약
Context
기업용 HR 및 빌링 관리를 위한 Oracle PeopleSoft의 PeopleTools 내 설계 결함 발생. 네트워크 접근이 가능한 HTTP 환경에서 인증 없이 시스템 전체 제어권을 획득할 수 있는 구조적 취약점 노출.
Technical Solution
- CVE-2026-35273 취약점을 이용한 Remote Unauthenticated Access 경로 확보
- HTTP 프로토콜 기반의 네트워크 진입점을 통한 PeopleSoft Enterprise PeopleTools 권한 탈취
- 시스템 제어권 확보 후 내부 데이터베이스 및 파일 시스템 접근을 통한 데이터 엑스필트레이션 수행
- 취약한 엔드포인트 IP 스캐닝을 통한 300개 이상의 취약 인스턴스 식별 및 공격 자동화
- Oracle의 Out-of-band 보안 경고 및 임시 완화 조치(Mitigations) 적용을 통한 진입 경로 차단
Impact
- CVSS 점수 9.8의 치명적 취약점으로 100개 이상의 글로벌 조직 침해
- University of Nottingham의 학생 및 빌링 관련 개인 데이터 40 GB 탈취
- 피해 기관 중 68%가 고등 교육 기관에 집중된 타겟 공격 양상 확인
Key Takeaway
인증되지 않은 외부 요청이 엔터프라이즈 핵심 관리 도구의 제어권으로 이어지는 권한 검증 로직의 부재가 치명적 결과 초래. Zero-day 공격 대응을 위한 신속한 Patch 관리 프로세스와 네트워크 세그멘테이션을 통한 공격 표면(Attack Surface) 최소화의 중요성 확인.
실천 포인트
1. 외부 노출 엔드포인트의 인증 및 인가 로직 재검증
2. CVSS
9.0 이상의 High-Critical 취약점 발생 시 Out-of-band 패치 즉시 적용 프로세스 구축
3. 관리자 도구(Admin Tool)의 네트워크 접근 제어 리스트(ACL) 강화 및 VPN 기반 접근 제한 적용