ShinyHunters Exploits Oracle PeopleSoft Zero-Day (CVE-2026-35273) to Breach Universities

1 minute de lecture

Mis à jour : June 12, 2026

Exploitation massive de la vulnérabilité zero-day dans Oracle PeopleSoft par ShinyHunters

Le groupe de cybercriminels « ShinyHunters » (traqué sous le nom UNC6240) exploite activement une faille zero-day critique dans Oracle PeopleSoft pour infiltrer des systèmes d’entreprise, principalement au sein du secteur universitaire. Cette campagne, active depuis fin mai 2026, a déjà permis le vol massif de données personnelles (identités, coordonnées, informations sensibles).

Points clés :

Vulnérabilité critique : CVE-2026-35273, une faille d’exécution de code à distance (RCE) notée 9.8/10.
Vecteur d’attaque : Ne nécessite aucune authentification ni interaction utilisateur ; l’accès réseau HTTP vers l’« Environment Management Hub » (PSEMHUB) suffit.
Mode opératoire : Les attaquants déploient des agents de gestion à distance (MeshCentral déguisés en binaires Microsoft) et des scripts de mouvement latéral automatisés (scan SSH avec identifiants codés en dur).
Ciblage : Plus de 100 organisations identifiées, dont 68 % dans l’enseignement supérieur (ex: University of Nottingham, avec 455 000 enregistrements compromis).

Recommandations immédiates :

Isolation : Désactiver le service Environment Management Hub sur les configurations multi-serveurs ou supprimer l’application PSEMHUB sur les serveurs isolés.
Filtrage périmétrique : Si la désactivation est impossible, bloquer l’accès externe aux répertoires /PSEMHUB/* et /PSIGW/HttpListeningConnector.
Détection :
- Inspecter les logs WebLogic pour identifier des requêtes POST inhabituelles vers les chemins précités.
- Rechercher des fichiers .jsp suspects ou des dossiers anormaux (logs, scratchpad) dans le répertoire PSEMHUB.war.
- Vérifier les modifications récentes sur les fichiers .xml dans envmetadata/data/environment.
- Surveiller tout trafic SMB sortant (port 445) depuis les serveurs PeopleSoft.
Correction : Appliquer les correctifs officiels d’Oracle dès leur disponibilité via le portail My Oracle Support.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

ShinyHunters Exploits Oracle PeopleSoft Zero-Day (CVE-2026-35273) to Breach Universities

Exploitation massive de la vulnérabilité zero-day dans Oracle PeopleSoft par ShinyHunters

Partager sur

Vous pourriez aimer

Ukrainian national pleads guilty to role in Conti ransomware operation

Condamnation d’un membre clé du groupe de ransomware Conti

Rethinking MDR as Attackers and Defenders Embrace AI

L’Obsolescence du Modèle MDR face à l’ère de l’IA

phpBB forum fixes auth bypass bug lurking for a decade

Correction d’une faille critique d’authentification sur phpBB

Pharma giant Novo Nordisk discloses breach of clinical trials data

Violation de données chez Novo Nordisk : impact sur les essais cliniques