SOC Prime Bias: 중대

15 Jun 2026 16:03 UTC

CVE-2026-35273: Oracle PeopleSoft 제로데이, 급증하는 악용 사례

Author Photo
SOC Prime Team linkedin icon 팔로우
CVE-2026-35273: Oracle PeopleSoft 제로데이, 급증하는 악용 사례
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

개요

Oracle PeopleSoft의 업데이트 환경 관리 구성 요소에서 발견된 심각한 제로데이 취약점이 원격 코드 실행을 목적으로 활성적으로 악용되고 있습니다. 이 문제는 서버 측 요청 위조 취약점으로 분류되며, 인증되지 않은 공격자가 노출된 시스템을 손상시키기 위해 악용할 수 있습니다. 이 활동은 재정적인 목적으로 활동하는 위협 그룹 ShinyHunters와 연결되어 있습니다.

조사

Mandiant는 2026년 5월 27일부터 6월 9일까지 Oracle이 보안 권고를 발표하기 전에 활발한 악용을 관찰했습니다. 그들의 조사는 공격자들이 다음을 대상으로 하고 있음을 보여주었습니다 PSEMHUB 엔드포인트를 사용하여 원격 코드 실행을 얻고 MeshCentral 에이전트를 배포하여 지속적인 원격 액세스를 유지하고 있었습니다. 고등 교육 부문은 이번 캠페인의 주요 초점이었으며, 침입 동안 대량의 데이터 도난이 있었다고 연구진은 언급했습니다.

완화 방안

조직은 PeopleTools 버전 8.61 및 8.62에 대한 Oracle의 별도 패치를 긴급히 적용해야 합니다. 추가 방어 단계에는 환경 관리 허브 서비스를 비활성화하고 외부 액세스를 차단하는 것이 포함됩니다. /PSEMHUB/* and /PSIGW/HttpListeningConnector. 또한 445 포트를 통한 신뢰하지 않는 목적지로의 아웃바운드 SMB 트래픽을 모니터링하는 것도 보완 통제로 권장됩니다.

대응

악용이 의심되는 경우, 조직은 패치 후에도 손상 가능성이 있는지를 조사해야 합니다. 우선 조사할 요소에는 예기치 않은 .jsp 파일, 권한 없는 디렉토리가 포함된 PSEMHUB 경로, 그리고 외부 IP 주소로의 아웃바운드 SMB 연결이 포함됩니다. 보안 팀은 또한 MeshCentral 에이전트의 위장 여부를 확인하고 권한 없는 XML 파일 변경 사항을 확인하기 위해 환경 메타데이터 디렉터리를 검토해야 합니다.

공격 흐름

시뮬레이션 실행

전제 조건: 텔레메트리 및 기준선 사전 점검이 통과해야 합니다.

이론적인 배경: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 공격자 기술 (TTP)의 구체적인 실행을 상세히 설명합니다. 명령과 설명은 식별된 TTP를 직접 반영해야 하며 탐지 논리가 예상하는 정확한 텔레메트리를 생성하도록 해야 합니다. 추상적이거나 관련이 없는 예는 오진으로 이어질 것입니다.

  • 공격 서사 및 명령: 공격자는 취약한 Oracle PeopleSoft 인스턴스를 식별하기 위해 자동화된 스캔을 수행하고 있습니다. 그들의 목표는 CVE-2026-35273에 민감한 대상을 식별하는 것입니다. 그들은 식별된 민감한 URI 경로에 특수하게 제작된 HTTP GET 요청을 보낼 것입니다. 서버가 404 대신 200 OK 또는 500 오류로 응답하면 공격자는 애플리케이션의 존재를 확인하고 익스플로이트 페이로드를 계속 진행합니다.

  • 회귀 테스트 스크립트:

    #!/bin/bash
    # CVE-2026-35273 URI 탐지 검증을 위한 시뮬레이션 스크립트
    
    TARGET="http://<TARGET_IP>"
    ENDPOINTS=("/PSEMHUB/hub" "/PSIGW/HttpListeningConnector")
    
    echo "[+] CVE-2026-35273 URI 액세스 시뮬레이션 시작..."
    
    for uri in "${ENDPOINTS[@]}"
    do
        echo "[*] 요청 전송 중: $uri"
        # 우리는 헤더를 보기 위해 -v를 사용하며, SIEM은 로그 항목만 필요합니다
        curl -s -v "$TARGET$uri" -o /dev/null
        echo "[+] 요청 전송 완료."
    done
    
    echo "[+] 시뮬레이션 완료. URIs와 매칭되는 경고를 SIEM에서 확인하십시오."
  • 정리 명령:

    # 이 시뮬레이션은 지속적인 변경을 가하지 않습니다;
    # 그러나 파괴적 환경에서 테스트하는 경우 웹 서버 액세스 로그를 지우십시오.
    # Linux의 경우:
    # sudo truncate -s 0 /var/log/apache2/access.log