Oracle PeopleSoft vulnerability ## Apa Itu Kerentanan Oracle PeopleSoft? Kerentanan Oracle PeopleSoft adalah kelemahan keamanan yang ditemukan dalam perangkat lunak Oracle PeopleSoft — sebuah rangkaian aplikasi bisnis yang digunakan secara luas oleh universitas, instansi pemerintah, dan perusahaan besar untuk mengelola sumber daya manusia, keuangan, dan data mahasiswa. Ketika kerentanan ini dieksploitasi, penyerang dapat memperoleh akses tidak sah ke sistem sensitif, mencuri data, atau mengganggu operasional organisasi. ## Mengapa PeopleSoft Menjadi Target? PeopleSoft digunakan oleh ribuan organisasi di seluruh dunia, termasuk lembaga pendidikan tinggi dan instansi pemerintah. Hal ini menjadikannya target yang menarik bagi para penyerang karena beberapa alasan: - Sistem ini menyimpan data pribadi dan keuangan dalam jumlah besar - Banyak organisasi menunda pembaruan dan penambalan sistem - Antarmuka berbasis web membuka kemungkinan serangan dari jarak jauh - Sistem warisan sering kali terintegrasi dengan komponen yang sudah usang ## Jenis-Jenis Kerentanan yang Umum ### Kerentanan Server Web PeopleSoft Beberapa kerentanan yang paling kritis memengaruhi komponen web PeopleSoft: - **Injeksi SQL** — penyerang menyisipkan perintah berbahaya ke dalam kolom input database - **Cross-site scripting (XSS)** — kode berbahaya disuntikkan ke halaman web yang dilihat pengguna lain - **Traversal jalur** — penyerang mengakses file di luar direktori yang seharusnya diizinkan - **Bypass autentikasi** — melewati layar login tanpa kredensial yang valid ### Kerentanan PeopleSoft PeopleTools PeopleTools adalah kerangka pengembangan yang mendasari semua aplikasi PeopleSoft. Kerentanan di sini dapat memengaruhi seluruh instalasi: - Kelemahan pada komponen Integration Broker yang menangani pertukaran data - Masalah pada mesin debugger yang dapat dieksploitasi dari jarak jauh - Konfigurasi XML yang tidak aman yang memungkinkan injeksi entitas eksternal ### Bypass Autentikasi GetPS dan PS Token Kerentanan khusus yang ditemukan oleh peneliti keamanan memungkinkan penyerang melewati autentikasi dengan memanipulasi cookie sesi PeopleSoft yang disebut **PS_TOKEN**. ## Bagaimana Serangan Ini Bekerja ```figure: @title Alur Serangan Kerentanan PeopleSoft @caption Seorang penyerang mengeksploitasi titik masuk yang rentan untuk mendapatkan akses awal, lalu melakukan eskalasi hak akses guna menjangkau data sensitif. ┌─────────────┐ ┌──────────────────┐ ┌─────────────────┐ │ Penyerang │────▶│ Titik Masuk │────▶│ Akses Awal │ │ │ │ Rentan │ │ ke Sistem │ └─────────────┘ └──────────────────┘ └────────┬────────┘ │ ┌──────────────────┐ ▼ │ Data Sensitif │◀──── Eskalasi Hak Akses │ Terekspos │ └──────────────────┘ @source Diagram EducationPals ``` Serangan tipikal mengikuti pola berikut: 1. **Pengintaian** — penyerang mengidentifikasi instalasi PeopleSoft yang dapat diakses publik 2. **Pemindaian** — alat otomatis mencari versi dan komponen yang rentan 3. **Eksploitasi** — kerentanan dimanfaatkan untuk mendapatkan akses awal 4. **Eskalasi hak akses** — penyerang meningkatkan hak akses untuk menjangkau data yang lebih sensitif 5. **Eksfiltrasi data** — informasi sensitif dicuri atau sistem disusupi ## Kerentanan Terkenal dan Nomor CVE-nya CVE (Common Vulnerabilities and Exposures) adalah sistem standar untuk mengidentifikasi kerentanan keamanan yang diketahui publik. Berikut beberapa kerentanan PeopleSoft yang penting: | Nomor CVE | Komponen yang Terdampak | Tingkat Keparahan | |---|---|---| | CVE-2017-10271 | Oracle WebLogic (digunakan bersama PeopleSoft) | Kritis | | CVE-2014-4288 | PeopleSoft PeopleTools | Tinggi | | CVE-2013-3827 | PeopleSoft Enterprise Portal | Tinggi | ## Dampak Nyata Kerentanan PeopleSoft telah dieksploitasi dalam insiden dunia nyata: - Universitas kehilangan data mahasiswa termasuk nomor jaminan sosial dan catatan keuangan - Instansi pemerintah mengalami pelanggaran yang mengekspos informasi pegawai - Perusahaan menderita kerugian finansial akibat akses tidak sah ke sistem penggajian ## Cara Organisasi Melindungi Diri ### Manajemen Patch Oracle secara rutin merilis pembaruan keamanan melalui **Critical Patch Update (CPU)** triwulanan. Organisasi harus: - Menerapkan patch keamanan segera setelah dirilis - Melacak pengumuman keamanan Oracle - Menguji patch di lingkungan staging sebelum diterapkan ke produksi ### Kontrol Akses Jaringan - Batasi akses ke antarmuka admin PeopleSoft hanya dari jaringan tepercaya - Gunakan VPN untuk akses jarak jauh - Terapkan segmentasi jaringan untuk mengisolasi sistem PeopleSoft ### Pemantauan dan Pendeteksian - Pantau log akses untuk mendeteksi pola yang tidak biasa - Terapkan sistem deteksi intrusi (IDS) - Lakukan audit keamanan dan uji penetrasi secara berkala ### Keamanan Konfigurasi - Nonaktifkan layanan dan port yang tidak diperlukan - Gunakan kata sandi yang kuat dan autentikasi multi-faktor - Tinjau dan batasi izin pengguna secara berkala ## Tanggung Jawab Oracle Oracle merilis patch keamanan melalui proses CPU triwulanan dan menyediakan: - Matriks identifikasi risiko untuk membantu menentukan prioritas patch - Catatan keamanan dan panduan hardening - Oracle Security Alerts untuk kerentanan kritis yang memerlukan tindakan segera ## Poin-Poin Penting - Kerentanan PeopleSoft dapat mengekspos data sensitif milik jutaan orang - Banyak serangan memanfaatkan kelemahan yang sudah diketahui dengan patch yang tersedia namun belum diterapkan - Penerapan patch secara teratur adalah pertahanan paling efektif - Organisasi yang menjalankan PeopleSoft harus memperlakukannya sebagai aset infrastruktur kritis - Peneliti keamanan terus menemukan kerentanan baru, sehingga kewaspadaan berkelanjutan sangat diperlukanCVE-2026-35273: Zero-Day PeopleSoft yang Membuat Masalah ERP Pendidikan Tinggi Tidak Bisa Diabaikan LagiKelemahan CVSS 9.8 pada komponen administratif yang sering diabaikan telah menyerang lebih dari 100 organisasi, dengan 68% di antaranya adalah universitas di Amerika Serikat. Berikut pelajaran yang bisa dipetik oleh para pembela keamanan siber.Oracle PeopleSoftCVE-2026-35273Kerentanan Zero-DayKeamanan Pendidikan TinggiPatch Tuesday·Jun 16, 2026·6 min readBaca artikel