Oracle PeopleSoft-Sicherheitslücke ## Überblick Oracle PeopleSoft ist eine weit verbreitete Softwaresuite für das Unternehmensressourcenmanagement (ERP), die von vielen Organisationen weltweit für Personalwesen, Finanzen und Hochschulverwaltung eingesetzt wird. Im Jahr 2017 entdeckten Sicherheitsforscher eine kritische Schwachstelle in PeopleSoft-Systemen, die es Angreifern ermöglichte, ohne Authentifizierung vollständigen Administratorzugriff zu erlangen. Diese Sicherheitslücke verdeutlicht, wie gefährlich es sein kann, wenn komplexe Unternehmenssoftware nicht ordnungsgemäß abgesichert wird. ## Wie die Schwachstelle funktionierte Die Sicherheitslücke kombinierte zwei separate Schwächen zu einem mehrstufigen Angriff: - **PeopleSoft-Schwachstelle (CVE-2017-10061):** Ein Fehler in der PeopleSoft-Anwendung selbst ermöglichte es nicht authentifizierten Benutzern, auf bestimmte interne Funktionen zuzugreifen. - **PeopleTools-Schwachstelle (CVE-2017-10021):** Ein Fehler in der zugrundeliegenden PeopleTools-Plattform ermöglichte die Ausführung beliebigen Codes. Durch die Kombination dieser beiden Schwachstellen konnte ein Angreifer folgendes erreichen: 1. Zugriff auf das System ohne Anmeldedaten erlangen 2. Schadcode auf dem Server ausführen 3. Vollständige Kontrolle über die PeopleSoft-Umgebung übernehmen ## Warum dies gefährlich war PeopleSoft-Systeme speichern äußerst sensible Daten, darunter Mitarbeiterinformationen, Gehaltsabrechnungsdaten, Studentendatensätze sowie Finanz- und Buchhaltungsinformationen. Ein erfolgreicher Angriff hätte es einem Angreifer ermöglicht, alle diese Daten einzusehen, zu verändern oder zu stehlen – ohne jemals ein Passwort eingeben zu müssen. Da PeopleSoft häufig in Universitäten und Regierungsbehörden eingesetzt wird, war das Risiko für eine große Anzahl sensibler personenbezogener Daten besonders hoch. ## Angriffskette ```figure: @title Mehrstufige PeopleSoft-Angriffskette @caption Ein Angreifer kombiniert zwei Schwachstellen, um ohne Anmeldedaten vollen Administratorzugriff zu erlangen. ┌─────────────┐ CVE-2017-10061 ┌──────────────────┐ CVE-2017-10021 ┌──────────────────┐ │ Angreifer │ ──────────────────────► │ Nicht autoris. │ ──────────────────────► │ Remote-Code- │ │ (kein Login)│ │ interner Zugriff│ │ Ausführung │ └─────────────┘ └──────────────────┘ └────────┬─────────┘ │ ▼ ┌──────────────────────────┐ │ Vollständiger Admin- │ │ zugriff auf PeopleSoft │ └──────────────────────────┘ @source Angriffskette basierend auf ERPScan-Forschung, 2017 ``` ## Reaktion und Behebung Oracle veröffentlichte Patches für beide Schwachstellen im Rahmen des Critical Patch Update (CPU) vom Juli 2017. Organisationen, die PeopleSoft einsetzen, wurden dringend aufgefordert, diese Updates sofort anzuwenden. Die Sicherheitsforscher von ERPScan, die die Schwachstelle entdeckten, stellten fest, dass viele Organisationen ihre PeopleSoft-Installationen direkt mit dem Internet verbunden hatten, was das Risiko erheblich erhöhte. ## Wichtige Lernpunkte - **Patch-Management ist entscheidend:** Sicherheitsupdates für Unternehmenssoftware müssen zeitnah eingespielt werden, insbesondere wenn die Software sensible Daten verwaltet. - **Netzwerksegmentierung schützt:** ERP-Systeme sollten nicht direkt aus dem Internet erreichbar sein – der Zugriff sollte über VPNs oder interne Netzwerke erfolgen. - **Verkettete Schwachstellen sind besonders gefährlich:** Einzelne Schwachstellen mögen harmlos erscheinen, aber ihre Kombination kann zu schwerwiegenden Sicherheitsproblemen führen. - **Angriffsfläche minimieren:** Systeme, die nicht öffentlich zugänglich sein müssen, sollten vom Internet isoliert werden.CVE-2026-35273: Der PeopleSoft-Zero-Day, der das ERP-Problem im Hochschulwesen unmöglich zu ignorieren machteEin CVSS-9.8-Fehler in einer übersehenen Verwaltungskomponente traf über 100 Organisationen, davon 68 % US-amerikanische Universitäten. Das können Verteidiger daraus lernen.Oracle PeopleSoftCVE-2026-35273Zero-Day-SchwachstelleHochschulsicherheitPatch Tuesday·Jun 16, 2026·6 min readStory lesen