Ancaman Zero-Day Kritis di Oracle PeopleSoft: Dampak, Cara Kerja, dan Langkah Mitigasi

Kelompok peretas ShinyHunters baru-baru ini memanfaatkan kerentanan zero-day kritis pada Oracle PeopleSoft untuk menargetkan sekitar 100 organisasi di berbagai sektor. Kerentanan tersebut, yang dilacak sebagai CVE-2026-35273 dengan peringkat keparahan 9,8 dari skala 10, memungkinkan serangan server-side request forgery (SSRF) yang dapat dieksekusi dari jarak jauh. Menurut tim keamanan Mandiant dari Google, kelompok ini telah mengeksploitasi kerentanan sejak 27 Mei dan berhasil mencuri data dalam jumlah besar dari korban-korbannya. Ancaman ini tidak hanya membahayakan organisasi pendidikan tinggi, tetapi juga sektor-sektor lain yang menggunakan PeopleSoft sebagai tulang punggung sistem manajemen sumber daya manusia dan keuangan mereka.

Apa Itu PeopleSoft dan Mengapa Kerentanan Ini Begitu Berbahaya

Oracle PeopleSoft adalah rangkaian perangkat lunak enterprise resource planning (ERP) yang banyak digunakan oleh organisasi besar, terutama di sektor pendidikan, pemerintahan, dan perusahaan swasta. Sistem ini mengelola data sensitif seperti informasi karyawan, keuangan, dan catatan akademik. Kerentanan CVE-2026-35273 yang ditemukan pada PeopleSoft merupakan jenis server-side request forgery (SSRF), di mana serangan memanfaatkan server yang rentan untuk mengirim permintaan ke sistem internal organisasi tanpa otorisasi. SSRF sangat berbahaya karena serangan dapat dilakukan dari jarak jauh dan tidak memerlukan akses fisik ke jaringan korban.

Keparahan kerentanan ini mencapai 9,8 pada skala CVSS, menempatkannya sebagai salah satu ancaman zero-day paling kritis tahun ini. Oracle sendiri telah mengakui tingkat keparahan ini dan merilis mitigasi sementara, meski belum merilis patch lengkap. Mandiant melaporkan bahwa ShinyHunters telah mengeksploitasi kerentanan ini selama lebih dari dua minggu sebelum Oracle menyadari adanya aktivitas mencurigakan. Hal ini menunjukkan betapa cepatnya kelompok peretas bereaksi terhadap kerentanan yang belum dipublikasikan secara luas, serta betapa rentannya organisasi yang belum menerapkan pembaruan keamanan tepat waktu.

Bagaimana Kelompok ShinyHunters Menjalankan Serangan

ShinyHunters dikenal sebagai kelompok peretas yang aktif dalam melakukan serangan ransomware dan pencurian data untuk kemudian menuntut tebusan. Dalam serangan ini, kelompok tersebut memanfaatkan kerentanan SSRF untuk memasuki jaringan internal organisasi yang menggunakan PeopleSoft. Setelah berhasil masuk, mereka dapat mengekstrak data sensitif dalam jumlah besar, termasuk informasi pribadi, catatan akademik, dan data keuangan. Pada salah satu kasus yang terungkap, ShinyHunters mengklaim telah mencuri data dari Universitas Nottingham dan menerbitkan sebagian data tersebut sebagai bukti pencurian.

Menurut analisis Mandiant, ShinyHunters telah menargetkan sekitar 300 endpoint yang tersebar di 100 organisasi. Sekitar 68 persen dari organisasi tersebut berasal dari sektor pendidikan tinggi, sementara sisanya berasal dari sektor pemerintahan, kesehatan, dan perusahaan swasta. Kelompok ini tidak hanya mencuri data, tetapi juga mengirimkan tuntutan tebusan kepada korban-korbannya. Dalam beberapa kasus, mereka mengancam akan mempublikasikan data yang dicuri jika tuntutan tidak dipenuhi. Pendekatan semacam ini merupakan strategi umum yang digunakan oleh kelompok peretas untuk meningkatkan tekanan terhadap korban.

Dampak bagi Organisasi yang Terkena Dampak

Organisasi yang menjadi korban serangan ini menghadapi risiko yang sangat serius, baik dari segi keamanan data maupun reputasi. Data sensitif yang dicuri dapat mencakup informasi pribadi karyawan dan mahasiswa, data keuangan, serta catatan akademik. Jika data tersebut jatuh ke tangan yang salah, organisasi dapat menghadapi tuntutan hukum, denda regulasi, dan kerugian finansial yang signifikan. Selain itu, hilangnya kepercayaan publik akibat kebocoran data dapat berdampak jangka panjang terhadap reputasi organisasi.

Universitas Nottingham, misalnya, mengonfirmasi bahwa mereka menjadi salah satu korban serangan ini. Universitas tersebut menyatakan bahwa serangan tersebut telah mengekspos "jumlah data mahasiswa yang signifikan". Meskipun tidak semua data yang dicuri dipublikasikan, ancaman pencurian data massal tetap menjadi perhatian utama. Organisasi lain yang menggunakan PeopleSoft juga berisiko mengalami hal serupa, terutama jika mereka belum menerapkan mitigasi sementara yang disarankan oleh Oracle.

Langkah-Langkah Mitigasi yang Dianjurkan oleh Oracle dan Pakar Keamanan

Oracle telah merilis mitigasi sementara untuk mengurangi risiko eksploitasi kerentanan CVE-2026-35273. Mitigasi ini melibatkan pembatasan akses ke sistem internal dan penerapan kontrol keamanan tambahan untuk mencegah serangan SSRF. Meskipun demikian, Oracle belum merilis patch lengkap yang dapat sepenuhnya menutup kerentanan ini. Para pakar keamanan, termasuk Mandiant, menyarankan organisasi untuk segera menerapkan mitigasi sementara dan memantau aktivitas jaringan mereka untuk mendeteksi indikasi eksploitasi.

Selain itu, organisasi disarankan untuk melakukan audit keamanan menyeluruh terhadap sistem PeopleSoft mereka. Hal ini meliputi pemeriksaan terhadap konfigurasi server, penerapan autentikasi multi-faktor, dan pembatasan akses internal. Organisasi juga harus memastikan bahwa karyawan dan staf IT mereka terlatih untuk mengenali tanda-tanda serangan siber dan mengetahui prosedur respons insiden. Langkah-langkah ini penting untuk mencegah eksploitasi lebih lanjut dan meminimalkan dampak serangan.

Apa yang Harus Dilakukan oleh Organisasi yang Menggunakan PeopleSoft

Bagi organisasi yang menggunakan PeopleSoft, langkah pertama yang harus dilakukan adalah menerapkan mitigasi sementara yang telah disarankan oleh Oracle. Mitigasi ini dapat membantu mengurangi risiko eksploitasi sementara menunggu patch resmi. Organisasi juga harus memantau aktivitas jaringan mereka secara ketat, terutama untuk mendeteksi aktivitas mencurigakan yang dapat mengindikasikan eksploitasi kerentanan.

Selanjutnya, organisasi perlu melakukan evaluasi menyeluruh terhadap sistem keamanan mereka. Hal ini meliputi penerapan kontrol akses yang ketat, pembaruan berkala terhadap perangkat lunak, dan pengujian keamanan yang rutin. Organisasi juga harus mempertimbangkan untuk menerapkan solusi keamanan tambahan, seperti firewall aplikasi web (WAF) dan sistem deteksi intrusi (IDS), untuk memberikan lapisan perlindungan tambahan. Selain itu, karyawan harus diberikan pelatihan tentang praktik keamanan siber yang baik, termasuk cara mengenali phishing dan serangan sosial lainnya.

Peran Pemerintah dan Regulator dalam Menghadapi Ancaman Siber

Ancaman serangan siber seperti yang terjadi pada PeopleSoft tidak hanya menjadi tanggung jawab organisasi individu, tetapi juga pemerintah dan regulator. Di banyak negara, pemerintah telah menetapkan regulasi ketat untuk melindungi data sensitif, seperti General Data Protection Regulation (GDPR) di Uni Eropa dan Undang-Undang Perlindungan Data Pribadi di Indonesia. Regulasi ini mewajibkan organisasi untuk melindungi data pribadi dan melaporkan insiden keamanan dalam waktu yang ditentukan.

Pemerintah juga dapat berperan dalam meningkatkan kesadaran akan ancaman siber melalui kampanye edukasi dan pelatihan. Selain itu, pemerintah dapat bekerja sama dengan pakar keamanan siber untuk mengembangkan pedoman dan standar keamanan yang lebih baik. Kolaborasi antara pemerintah, sektor swasta, dan akademisi sangat penting untuk menciptakan ekosistem keamanan siber yang lebih tangguh dan responsif terhadap ancaman yang terus berkembang.

Masa Depan Keamanan Perangkat Lunak Enterprise

Serangan terhadap PeopleSoft menunjukkan bahwa kerentanan dalam perangkat lunak enterprise dapat memiliki dampak yang sangat luas dan merusak. Meskipun vendor perangkat lunak seperti Oracle terus berupaya untuk meningkatkan keamanan produk mereka, kelompok peretas juga semakin canggih dalam menemukan dan mengeksploitasi kerentanan. Hal ini menekankan pentingnya pendekatan keamanan yang proaktif, termasuk pengujian keamanan yang rutin, pembaruan perangkat lunak yang tepat waktu, dan penerapan kontrol keamanan yang ketat.

Organisasi juga perlu mempertimbangkan untuk mengadopsi prinsip zero trust, di mana setiap akses ke sistem dan data dianggap tidak tepercaya kecuali terbukti sebaliknya. Prinsip ini melibatkan penerapan autentikasi multi-faktor, pembatasan akses berbasis peran, dan pemantauan aktivitas pengguna secara real-time. Dengan menerapkan prinsip zero trust, organisasi dapat mengurangi risiko eksploitasi dan meminimalkan dampak serangan siber.

Kesimpulan: Tindakan Segera untuk Mencegah Kerugian Lebih Besar

Ancaman zero-day kritis pada Oracle PeopleSoft merupakan pengingat penting bahwa tidak ada sistem yang benar-benar aman dari serangan siber. Organisasi yang menggunakan PeopleSoft harus segera mengambil tindakan untuk menerapkan mitigasi sementara, memantau aktivitas jaringan, dan melakukan audit keamanan menyeluruh. Selain itu, pemerintah dan regulator perlu meningkatkan upaya untuk melindungi data sensitif dan meningkatkan kesadaran akan ancaman siber.

Bagi masyarakat umum, insiden ini juga menjadi pengingat untuk lebih waspada terhadap praktik keamanan siber. Pengguna perangkat lunak enterprise, baik karyawan maupun mahasiswa, harus memastikan bahwa mereka menggunakan kata sandi yang kuat, menerapkan autentikasi multi-faktor, dan tidak membagikan informasi sensitif secara sembarangan. Dengan mengambil langkah-langkah pencegahan yang tepat, organisasi dan individu dapat mengurangi risiko menjadi korban serangan siber dan melindungi data sensitif mereka.