콘텐츠로 이동

PeopleSoft CVE-2026-35273 RCE

PeopleSoft CVE-2026-35273 RCE thumbnail
CVE-2026-35273은 Oracle PeopleSoft PeopleTools의 Environment Management 컴포넌트에 있는 pre-auth RCE 취약점이다. Oracle은 2026-06-10 Security Alert를 게시했고, 영향을 받는 지원 버전을 PeopleSoft Enterprise PeopleTools 8.61, 8.62로...
2026-06-15 # cve

요약

CVE-2026-35273은 Oracle PeopleSoft PeopleTools의 Environment Management 컴포넌트에 있는 pre-auth RCE 취약점이다. Oracle은 2026-06-10 Security Alert를 게시했고, 영향을 받는 지원 버전을 PeopleSoft Enterprise PeopleTools 8.61, 8.62로 명시했다.

Mandiant와 Google Threat Intelligence Group은 2026-05-27부터 2026-06-09까지 이 취약점이 zero-day로 악용됐다고 분석했다. 관측된 공격은 /PSEMHUB//PSIGW/HttpListeningConnector 노출면, MeshCentral 기반 원격 제어, 내부 PeopleSoft/WebLogic 구성 조회, 데이터 압축과 유출 흐름으로 이어졌다.

항목 내용
식별자 CVE-2026-35273
제품 Oracle PeopleSoft PeopleTools
영향 버전 8.61, 8.62
컴포넌트 Updates Environment Management
프로토콜 HTTP
인증 조건 pre-auth
CVSS 9.8
공격 결과 RCE
Oracle alert 게시일 2026-06-10
관측된 악용 기간 2026-05-27 ~ 2026-06-09
주요 관측 endpoint /PSEMHUB/hub, /PSIGW/HttpListeningConnector

패치와 침해 점검

Oracle alert 적용은 노출 제거의 시작점이다. 이미 악용된 환경에서는 patch 이후에도 WebLogic 파일시스템, PeopleSoft 구성 경로, MeshCentral 흔적, 데이터 압축과 외부 전송 로그를 별도로 확인해야 한다.

취약점 개요

Oracle의 risk matrix는 CVE-2026-35273을 PeopleSoft Enterprise PeopleTools의 Updates Environment Management 컴포넌트 취약점으로 분류한다. 공격 벡터는 network, 공격 복잡도는 low, 권한 요구와 사용자 상호작용은 none이다. 성공 시 confidentiality, integrity, availability 영향이 모두 high로 평가된다.

Mandiant는 실제 공격 흐름이 Environment Management Hub, 즉 PSEMHUB endpoint 노출과 맞물린다고 설명했다. 공격자가 관측된 endpoint는 다음 두 곳이다.

POST /PSEMHUB/hub
POST /PSIGW/HttpListeningConnector

/PSEMHUB/hub는 EMHub 관련 요청 관측점이다. /PSIGW/HttpListeningConnector는 Integration Broker Listening Connector 경로로, Mandiant는 이 경로의 요청에서 loopback 주소나 내부 IP가 헤더 또는 파라미터로 전달되는지 확인하라고 제시했다. 이는 접근 제어 우회를 위한 SSRF 성격의 흔적으로 볼 수 있다.

공격 흐름

공개 분석에서 확인되는 흐름은 취약 endpoint 접근, 원격 제어 도구 배포, 내부 정찰, 측면 이동, 데이터 압축과 유출이다. 공개 자료에는 완전한 PoC 요청 본문이나 patch diff가 포함돼 있지 않지만, 공격 후 단계의 파일 경로와 명령 흔적은 비교적 구체적이다.

Mandiant가 분석한 staging host는 Python SimpleHTTP 서버를 8888 포트로 열고 있었다. 해당 서버에는 MeshCentral agent, attacker command history, 측면 이동 스크립트가 노출됐다. Windows agent 파일명은 Microsoft Azure 운영 구성요소처럼 보이도록 위장됐다.

meshagent32-azure-ops.exe
meshagent64-azure-ops.exe
meshagent64-v2.exe
meshagent

agent는 다음 C2로 통신하도록 구성된 것으로 분석됐다.

wss://azurenetfiles.net:443/agent.ashx

공격자는 MeshCentral CLI인 meshctrl.js로 침해 host에서 명령을 실행했다. 이후 PeopleSoft와 WebLogic 구성을 확인하기 위해 psappsrv.cfg, mount 정보, /etc/hosts, WebLogic config.xml을 조회했다.

grep -hE '^[[:space:]]*Address=|^[[:space:]]*HostName=' /u01/app/psoft/ps_config_homes/csprd/appserv/prcs/psappsrv.cfg 2>/dev/null | head -80
mount | grep -E "psoft|ps_config|nfs"
cat /etc/hosts | grep -E "[victim_pattern]"

측면 이동 단계에서는 [victim_abbreviation]_fanout.sh 형태의 스크립트가 사용됐다. 이 스크립트는 /etc/hosts에서 내부 PeopleSoft node 후보를 뽑고, SSH password 인증과 key 기반 인증을 시도한 뒤 WebLogic 및 Process Scheduler 관련 경로에 extortion marker 파일을 복사했다.

README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT

데이터 유출 전 단계에서는 zstd로 exfil 디렉터리를 압축한 흔적이 공개됐다.

pv -s "$(du -sb exfil | awk '{print $1}')" | zstd -3 -T0 -o exfil.tar.zst

영향 범위

PeopleSoft는 HR, payroll, finance, procurement, student administration 같은 업무 데이터를 다룬다. RCE가 성립한 PeopleSoft application infrastructure에서는 애플리케이션 서버 권한으로 구성 파일, WebLogic 배포 경로, Process Scheduler 설정, 내부 host 목록, 연결 계정 정보를 확인할 수 있다.

관측된 공격은 단순 웹셸 업로드에서 끝나지 않았다. Mandiant 분석 기준으로 공격자는 PeopleSoft/WebLogic 구성을 조회하고, 내부 node를 식별하고, MeshCentral agent를 사용해 명령을 실행하고, 탈취 데이터를 압축했다. 따라서 점검 범위는 웹 접근 로그만이 아니라 WebLogic 파일시스템, PeopleSoft 설정 home, outbound network, SSH lateral movement 흔적까지 포함한다.

자산 식별

외부에서 접근 가능한 PeopleSoft와 PeopleTools 버전을 먼저 분리한다. 특히 PIA, PSEMHUB, PSIGW 경로가 인터넷 또는 신뢰되지 않은 네트워크에서 직접 접근 가능한지 확인한다.

SELECT
  hostname,
  ip_address,
  environment,
  owner_team,
  internet_exposed,
  product_name,
  product_version,
  last_patch_date
FROM asset_inventory
WHERE LOWER(product_name) LIKE '%peoplesoft%'
ORDER BY internet_exposed DESC, last_patch_date ASC;

노출 endpoint는 웹 서버, reverse proxy, WAF, firewall 로그에서 함께 확인한다.

grep -E 'POST /(PSEMHUB/hub|PSIGW/HttpListeningConnector)' access.log

탐지 포인트

네트워크

PeopleSoft host에서 외부로 나가는 SMB 트래픽을 확인한다. Mandiant는 exploit chain이 Windows machine-account NetNTLM hash 획득을 노리고 outbound SMB 연결을 유도할 수 있다고 설명했다.

PeopleSoft host -> untrusted external IP:445

다음 staging 및 C2 indicator도 방화벽, proxy, DNS, EDR telemetry에서 조회한다.

142.11.200.186
142.11.200.187
142.11.200.188
142.11.200.189
142.11.200.190
108.174.202.99
176.120.22.24
azurenetfiles.net

MeshCentral agent의 C2 URL도 별도 탐지 대상으로 둔다.

wss://azurenetfiles.net:443/agent.ashx

엔드포인트

PIA WebLogic access log에서 외부 또는 신뢰되지 않은 source의 요청을 찾는다.

POST /PSEMHUB/hub
POST /PSIGW/HttpListeningConnector

/PSIGW/HttpListeningConnector 요청에는 loopback 또는 내부 대역이 헤더나 파라미터에 들어갔는지 확인한다.

127.0.0.1
localhost
::1
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

서버

WebLogic application directory에서 제품 기본 파일이 아닌 JSP 파일을 확인한다.

find "$PS_CFG_HOME/webserv" -path "*/applications/peoplesoft/PSEMHUB.war/*" -name "*.jsp" -type f -mtime -30

PSEMHUB transaction 경로의 임의 파일과 binary drop을 확인한다.

find "$PS_CFG_HOME/webserv" -path "*/PSEMHUB.war/envmetadata/transactions/*" -type f -mtime -30

PSEMHUB 하위에 다음 이름의 비정상 디렉터리가 있는지 확인한다. persistantstorage는 공개 분석에 나온 오탈자 형태 그대로 탐지해야 한다.

logs
persistantstorage
scratchpad

XMLDecoder persistence 가능성 때문에 environment metadata 경로의 최근 XML 변경도 확인한다.

find "$PS_CFG_HOME/webserv" -path "*/envmetadata/data/environment/*.xml" -type f -mtime -30

PeopleSoft 구성 조회와 내부 정찰 흔적은 shell history, EDR process telemetry, sudo 로그, auditd 로그에서 찾는다.

psappsrv.cfg
config.xml
meshctrl.js
sshpass
zstd
README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT

대응

Oracle Security Alert의 mitigation 문서를 기준으로 PeopleSoft Enterprise PeopleTools 8.61과 8.62에 대한 조치를 적용한다. Oracle 지원 문서 접근이 필요한 항목은 운영 중인 support 계정으로 확인한다.

EMHub를 사용하지 않는 multi-server 구성에서는 EMHub Service를 비활성화한다. single-server 구성에서는 Oracle guidance에 맞춰 PSEMHUB application 제거를 검토한다.

EMHub를 바로 비활성화할 수 없으면 perimeter firewall 또는 reverse proxy에서 외부 접근을 차단한다. Mandiant는 WAF body inspection만으로는 우회 가능성이 있어 충분하지 않다고 봤다.

/PSEMHUB/*
/PSEMHUB/hub
/PSIGW/HttpListeningConnector

패치 이후에는 다음 순서로 침해 점검을 진행한다.

  1. 2026-05-27부터 2026-06-09까지의 access log에서 PSEMHUB와 PSIGW 요청을 조회한다.
  2. WebLogic PSEMHUB.war 경로에서 비정상 JSP, transaction 파일, 최근 XML 변경을 확인한다.
  3. PeopleSoft server의 outbound SMB, MeshCentral C2, staging IP 접속을 조회한다.
  4. meshagent*, meshctrl.js, sshpass, zstd, extortion marker 파일 흔적을 EDR과 파일시스템에서 확인한다.
  5. PeopleSoft, WebLogic, OS, database 로그의 시간대를 맞춰 대량 조회와 archive 생성 시점을 비교한다.

참고 자료