Faille critique Oracle PeopleSoft : ShinyHunters exploite une 0-day

Une vulnérabilité critique exploitée en masse

Oracle PeopleSoft fait face à une compromission de grande ampleur. Le groupe cybercriminel ShinyHunters (suivi sous l'appellation UNC6240 par Mandiant) a exploité une vulnérabilité non documentée au sein de cette solution ERP, pilier de la gestion des ressources humaines et de la paie.

La faille, estampillée CVE-2026-35273, réside dans le composant Environment Management (PSEMHUB). Elle permet une exécution de code à distance sans aucune authentification préalable. Selon Oracle, cette vulnérabilité affecte les versions 8.61 et 8.62 de PeopleSoft Enterprise PeopleTools, avec un score CVSS de 9.8.

L'ampleur de l'attaque

Le groupe cybercriminel revendique le vol de données sur plus de 300 instances, touchant une centaine d'organisations. Parmi les victimes identifiées, 68 % appartiennent au secteur de l'éducation supérieure.

L'objectif initial des attaquants était encore plus ambitieux. Selon BleepingComputer, ils visaient un portail du FBI fonctionnant sous PeopleSoft pour y publier une déclaration. Cette tentative a échoué, mais l'exploitation s'est poursuivie massivement auprès d'autres cibles.

L'infrastructure d'attaque sophistiquée

L'analyse technique menée par Google Threat Intelligence révèle une méthodologie élaborée. Les pirates ont déployé des agents MeshCentral maquillés en services Microsoft Azure pour établir leurs serveurs de commande et de contrôle (C2).

Cette manœuvre permet d'échapper à la vigilance des centres opérationnels de sécurité (SOC) en imitant un trafic cloud légitime. Une fois le point d'entrée sécurisé, un script nommé fanout.sh automatise les mouvements latéraux au sein de l'infrastructure compromise.

Les étapes précises de l'exploitation

Les chercheurs ont documenté la chaîne d'attaque suivante :

• Analyse du fichier /etc/hosts pour identifier les nœuds internes PeopleSoft
• Tentatives de connexion SSH en utilisant des identifiants administratifs par défaut (psoft, oracle, linuxadm)
• Dépôt d'un fichier de demande de rançon nommé README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT dans les répertoires WebLogic
• Compression des données volées via l'outil zstd avant exfiltration vers un serveur miroir du site de fuite de ShinyHunters

La découverte a été rendue possible par une erreur de configuration des attaquants, exposant publiquement leurs serveurs de préparation.

Mesures de remédiation urgentes

L'application des correctifs fournis par Oracle est la priorité absolue. Si le patch ne peut être déployé immédiatement, des mesures de contournement critiques s'imposent.

Mandiant recommande de désactiver temporairement les services vulnérables et de mettre en œuvre les actions suivantes :

• Désactiver le service Environment Management Hub (EMHub) ou bloquer l'accès externe à /PSEMHUB/* et /PSIGW/HttpListeningConnector au niveau du pare-feu
• Auditer les journaux d'accès WebLogic à la recherche de requêtes HTTP POST suspectes pointant vers le composant Hub
• Inspecter le système de fichiers web pour détecter la présence de fichiers .jsp illégitimes ou de répertoires inattendus (scratchpad, persistantstorage)
• Surveiller les flux sortants sur le port TCP 445 (SMB) depuis les serveurs PeopleSoft, signe potentiel d'une compromission en cours

Pour approfondir la chasse aux menaces, la liste complète des indicateurs de compromission (IOC) est disponible sur le blog de Mandiant.