Oracle mitigates PeopleSoft zero-day exploited in data theft attacks

Vulnérabilité critique dans Oracle PeopleSoft exploitée par ShinyHunters

Oracle a émis une alerte concernant une vulnérabilité critique de type « zero-day » affectant Oracle PeopleSoft PeopleTools (versions 8.61 et 8.62). Utilisée activement par le groupe de cybercriminels ShinyHunters, cette faille permet à des attaquants non authentifiés d’exécuter du code à distance. Le secteur de l’éducation est particulièrement visé, avec plus de 100 organisations touchées.

Points clés :

• Vecteur d’attaque : Exploitation sans authentification permettant une exécution de code à distance (RCE).
• Impact : Vol massif de données pour extorsion (demande de rançon sous peine de fuite publique).
• Mode opératoire : Les attaquants utilisent des agents de gestion à distance (MeshCentral) déguisés en services Azure, effectuent une reconnaissance interne, et se déplacent latéralement via des identifiants volés ou codés en dur.

Vulnérabilité identifiée :

• CVE-2026-35273 : Score CVSS de 9.8.

Recommandations :

• Mises à jour : Appliquer immédiatement les mesures d’atténuation d’urgence fournies par Oracle en attendant le correctif final.
• Sécurisation : Restreindre l’accès aux points de terminaison PeopleSoft vulnérables.
• Détection : Surveiller les accès aux répertoires /PSEMHUB/ et /PSIGW/HttpListeningConnector.
• Audit technique : Rechercher des signes de compromission, notamment :
  • Fichiers .jsp suspects (webshells) dans les répertoires WebLogic.
  • Fichiers ou binaires non autorisés dans les dossiers de transaction PSEMHUB.
  • Fichiers XML récemment modifiés utilisés pour maintenir la persistance.
  • Présence de répertoires suspects (logs, persistantstorage, scratchpad).

Source