CVE-2026-35273: Oracle PeopleSoft 제로데이, 급증하는 악용 사례

SOC Prime Team

팔로우

CVE-2026-35273: Oracle PeopleSoft 제로데이, 급증하는 악용 사례

Detection stack

AIDR
Alert
ETL
Query

위협 보고서
공격 흐름
탐지
시뮬레이션

개요

Oracle PeopleSoft의 업데이트 환경 관리 구성 요소에서 발견된 심각한 제로데이 취약점이 원격 코드 실행을 목적으로 활성적으로 악용되고 있습니다. 이 문제는 서버 측 요청 위조 취약점으로 분류되며, 인증되지 않은 공격자가 노출된 시스템을 손상시키기 위해 악용할 수 있습니다. 이 활동은 재정적인 목적으로 활동하는 위협 그룹 ShinyHunters와 연결되어 있습니다.

조사

Mandiant는 2026년 5월 27일부터 6월 9일까지 Oracle이 보안 권고를 발표하기 전에 활발한 악용을 관찰했습니다. 그들의 조사는 공격자들이 다음을 대상으로 하고 있음을 보여주었습니다 PSEMHUB 엔드포인트를 사용하여 원격 코드 실행을 얻고 MeshCentral 에이전트를 배포하여 지속적인 원격 액세스를 유지하고 있었습니다. 고등 교육 부문은 이번 캠페인의 주요 초점이었으며, 침입 동안 대량의 데이터 도난이 있었다고 연구진은 언급했습니다.

완화 방안

조직은 PeopleTools 버전 8.61 및 8.62에 대한 Oracle의 별도 패치를 긴급히 적용해야 합니다. 추가 방어 단계에는 환경 관리 허브 서비스를 비활성화하고 외부 액세스를 차단하는 것이 포함됩니다. /PSEMHUB/* and /PSIGW/HttpListeningConnector. 또한 445 포트를 통한 신뢰하지 않는 목적지로의 아웃바운드 SMB 트래픽을 모니터링하는 것도 보완 통제로 권장됩니다.

대응

악용이 의심되는 경우, 조직은 패치 후에도 손상 가능성이 있는지를 조사해야 합니다. 우선 조사할 요소에는 예기치 않은 .jsp 파일, 권한 없는 디렉토리가 포함된 PSEMHUB 경로, 그리고 외부 IP 주소로의 아웃바운드 SMB 연결이 포함됩니다. 보안 팀은 또한 MeshCentral 에이전트의 위장 여부를 확인하고 권한 없는 XML 파일 변경 사항을 확인하기 위해 환경 메타데이터 디렉터리를 검토해야 합니다.

graph TB %% 클래스 정의 섹션 classDef exploit fill:#ff9999 %% 익스플로잇 및 초기 접근용 빨간색 classDef credential fill:#ffff99 %% 자격 증명 접근용 노란색 classDef persistence fill:#99ff99 %% 지속성용 녹색 classDef recon fill:#99ccff %% 정찰 및 수집용 파란색 classDef exfil fill:#cc99ff %% 유출 및 데이터 이동용 보라색 %% 노드 정의 exploit_ssrf[“행위 – T1210 원격 서비스 악용 설명: Oracle PeopleSoft Updates Environment Management에서 치명적인 제로데이 SSRF 취약점을 악용. CVE: CVE-2026-35273 결과: 원격 코드 실행”] class exploit_ssrf exploit action_smb_capture[“행위 – T1212 SMB/Windows 관리자 공유 설명: 외부 대상으로 아웃바운드 SMB 연결을 생성하여 Windows 컴퓨터 계정의 NetNTLM 해시를 수집. 목표: 자격 증명 접근”] class action_smb_capture credential tool_meshcentral[“도구 – T1219 원격 접근 소프트웨어 이름: MeshCentral 설명: 원격 관리 에이전트를 배포하여 환경 내 접근 지점을 유지.”] class tool_meshcentral persistence action_masquerade[“행위 – T1651 위장 설명: MeshCentral 에이전트를 정상적인 Microsoft Azure 서비스처럼 위장하여 탐지를 회피.”] class action_masquerade persistence action_valid_accounts[“행위 – T1078 유효 계정 설명: 지속적인 접근과 안정성을 위해 유효한 계정을 사용.”] class action_valid_accounts persistence action_recon[“행위 – 내부 정찰 설명: 내부 스캐닝 수행 및 다양한 데이터베이스에서 데이터 수집.”] class action_recon recon action_db_gather[“행위 – T1213.006 정보 저장소의 데이터: 데이터베이스 설명: 내부 데이터베이스 시스템에서 특정 데이터를 수집.”] class action_db_gather recon action_compress[“행위 – T1560.003 준비된 데이터: 파일 압축 설명: 도난 데이터를 zstd를 사용해 압축하여 수집 및 유출 과정을 용이하게 함.”] class action_compress exfil action_exfil[“행위 – T1560 준비된 데이터 설명: 유출 전에 압축된 데이터를 수집하고 준비.”] class action_exfil exfil %% 연결 exploit_ssrf –>|초래| action_smb_capture action_smb_capture –>|활성화| tool_meshcentral tool_meshcentral –>|사용| action_masquerade action_masquerade –>|지원됨| action_valid_accounts action_valid_accounts –>|허용| action_recon action_recon –>|초래| action_db_gather action_db_gather –>|결과| action_compress action_compress –>|준비| action_exfil

공격 흐름

공격 서사 및 명령: 공격자는 취약한 Oracle PeopleSoft 인스턴스를 식별하기 위해 자동화된 스캔을 수행하고 있습니다. 그들의 목표는 CVE-2026-35273에 민감한 대상을 식별하는 것입니다. 그들은 식별된 민감한 URI 경로에 특수하게 제작된 HTTP GET 요청을 보낼 것입니다. 서버가 404 대신 200 OK 또는 500 오류로 응답하면 공격자는 애플리케이션의 존재를 확인하고 익스플로이트 페이로드를 계속 진행합니다.

회귀 테스트 스크립트:

#!/bin/bash
# CVE-2026-35273 URI 탐지 검증을 위한 시뮬레이션 스크립트

TARGET="http://<TARGET_IP>"
ENDPOINTS=("/PSEMHUB/hub" "/PSIGW/HttpListeningConnector")

echo "[+] CVE-2026-35273 URI 액세스 시뮬레이션 시작..."

for uri in "${ENDPOINTS[@]}"
do
    echo "[*] 요청 전송 중: $uri"
    # 우리는 헤더를 보기 위해 -v를 사용하며, SIEM은 로그 항목만 필요합니다
    curl -s -v "$TARGET$uri" -o /dev/null
    echo "[+] 요청 전송 완료."
done

echo "[+] 시뮬레이션 완료. URIs와 매칭되는 경고를 SIEM에서 확인하십시오."

정리 명령:

# 이 시뮬레이션은 지속적인 변경을 가하지 않습니다;
# 그러나 파괴적 환경에서 테스트하는 경우 웹 서버 액세스 로그를 지우십시오.
# Linux의 경우:
# sudo truncate -s 0 /var/log/apache2/access.log

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입