Selasa, 7 Juli 2026 | 4 min read | Andhika R
Celah Zero-Day Oracle PeopleSoft (CVE-2026-35273) Hantam NAIC, Lembaga Pemeringkat Kredit Bekukan Suplai Data
Asosiasi Komisaris Asuransi Nasional Amerika Serikat (NAIC) mengonfirmasi bahwa infrastruktur sistem mereka telah disusupi oleh aktor ancaman. Insiden ini berakar pada eksploitasi kerentanan zero-day yang belum ditambal pada perangkat lunak perusahaan Oracle PeopleSoft pada awal bulan ini.
Kelompok peretas yang terafiliasi dengan jaringan ShinyHunters mengklaim bertanggung jawab atas eksploitasi ini dan telah mempublikasikan data hasil curian di situs kebocoran (leak site) mereka. Data yang di eksfiltrasi mencakup informasi finansial dan peringkat yang terhubung dengan investasi perusahaan asuransi. Meskipun sebagian data tersebut bersifat publik, NAIC menegaskan bahwa sejauh ini tidak ada bukti hilangnya data akun keuangan atau Informasi Identitas Pribadi (PII) milik individu.
Baca Juga:
Integrasi Kecerdasan Buatan (AI) dalam Operasi Red Teaming dan Penetrasi Siber
Sebagai entitas sentral yang menyediakan data dan analisis strategis bagi regulator asuransi negara bagian di seluruh AS, pembobolan NAIC memicu gelombang kepanikan di sepanjang rantai pasok intelijen keuangan. Merespons krisis ini, sejumlah lembaga pemeringkat kredit raksasa segera mengambil langkah isolasi defensif dengan membekukan (pausing) umpan data (data feeds) mereka ke NAIC.
- Moody's: Mengonfirmasi bahwa sebagian data terkait peringkat kredit dan asuransi mereka bocor melalui jaringan NAIC. Namun, Moody's menegaskan bahwa insiden ini bukan berasal dari pembobolan jaringan internal mereka. Penangguhan pengiriman data ke NAIC dilakukan sebagai langkah pencegahan ekstra.
- Kroll Bond Rating Agency (KBRA): Secara resmi menghentikan pengiriman umpan data ke NAIC hingga insiden keamanan ini diselesaikan secara komprehensif.
- Fitch Ratings & AM Best: Mengonfirmasi bahwa data yang sebelumnya mereka serahkan ke NAIC terdampak. Keduanya juga memvalidasi bahwa sistem dan operasional bisnis internal mereka tetap aman dari infeksi silang.
Dari sudut pandang forensik teknis, serangan ini tidak menargetkan NAIC secara spesifik, melainkan merupakan bagian dari kampanye eksploitasi massal terhadap kerentanan CVE-2026-35273.
Kerentanan ini adalah cacat Eksekusi Kode Jarak Jauh (Remote Code Execution / RCE) berstatus Kritis yang bersarang pada komponen Environment Management dalam rangkaian perangkat lunak Oracle PeopleSoft PeopleTools. Berdasarkan telemetri dari Mandiant (divisi respons insiden Google Cloud), eksploitasi aktif terjadi pada jendela waktu antara 27 Mei hingga 9 Juni 2026.
Mandiant melaporkan telah memberikan notifikasi peringatan kepada lebih dari 100 organisasi secara global yang berpotensi menjadi korban eksploitasi zero-day ini, di mana sekitar dua pertiganya merupakan institusi di sektor pendidikan.
Insiden yang menimpa NAIC adalah demonstrasi sempurna dari risiko sistemik dalam arsitektur Rantai Pasok Digital (Digital Supply Chain). Ketika satu entitas agregator data di tengah diretas melalui perangkat lunak pihak ketiga (Oracle), seluruh mitra di sekelilingnya terpaksa harus memutuskan koneksi bisnis demi mencegah penjalaran (lateral movement).
Analisis Taktis untuk Eksekutif TI dan Tata Kelola:
- Visibilitas Perangkat Lunak Inti (Shadow IT & ERP): Kerentanan pada sistem ERP masif seperti Oracle PeopleSoft sering kali menjadi titik buta (blind spot) karena administrator ragu melakukan patching akibat takut mengganggu operasional bisnis (downtime). Tim keamanan wajib memiliki jadwal mitigasi darurat kurang dari 24 jam untuk kerentanan berskor Kritis.
- Validasi Pihak Ketiga (TPRM): Langkah Moody's dan Kroll yang langsung membekukan integrasi API/suplai data ke NAIC adalah prosedur Manajemen Risiko Pihak Ketiga (TPRM) yang sangat tepat. Organisasi harus memiliki "tombol pemutus darurat" (kill switch) operasional ketika mitra vendor mereka terkonfirmasi mengalami insiden siber.
- Isolasi Komponen Kritis: Infrastruktur yang menghadap ke publik (seperti komponen manajemen lingkungan) harus disegmentasi secara ketat dari pangkalan data inti yang menyimpan rahasia finansial organisasi.
Menghadapi ancaman siber asimetris yang terus berevolusi dan kerentanan perangkat lunak yang tidak dapat diprediksi, postur pertahanan reaktif tidak lagi memadai. Jangan biarkan infrastruktur dan reputasi bisnis Anda menjadi target uji coba peretas modern.
Amankan arsitektur korporasi Anda dan pastikan kepatuhan regulasi keamanan informasi terpenuhi melalui simulasi Red Teaming dan Vulnerability Assessment yang komprehensif. Hubungi pakar keamanan siber Fourtrezz hari ini untuk konsultasi strategis melalui email di [email protected] atau jadwalkan asesmen keamanan langsung via WhatsApp di +62 857-7771-7243.
Andhika RDigital Marketing at Fourtrezz
Artikel Terpopuler
Tags: Sistem SSO, Tata Akses, Login Terpusat, IAM Perusahaan, Autentikasi MFA
Baca SelengkapnyaBerita Teratas
Berlangganan Newsletter FOURTREZZ
Jadilah yang pertama tahu mengenai artikel baru, produk, event, dan promosi.


