AIO APEX
Security

ShinyHunters a exploité CVE-2026-35273 pendant deux semaines avant qu'Oracle publie un correctif, compromettant plus de 100 organisations

The Hacker News
Partager:
ShinyHunters a exploité CVE-2026-35273 pendant deux semaines avant qu'Oracle publie un correctif, compromettant plus de 100 organisations

Deux semaines, aucun correctif, 100+ victimes : le zero-day Oracle PeopleSoft est devenu la campagne la plus destructrice de ShinyHunters à ce jour

Du 27 mai au 9 juin 2026, le groupe ShinyHunters — suivi par l'équipe Mandiant de Google sous l'identifiant UNC6240 — s'est déplacé discrètement à travers les déploiements PeopleSoft d'universités et d'établissements d'enseignement supérieur aux États-Unis et au-delà. Oracle n'a publié aucun avis hors cycle pour la vulnérabilité sous-jacente, CVE-2026-35273, avant le 10 juin. Chaque intrusion survenue dans cette fenêtre a visé un zero-day sans correctif disponible.

La vulnérabilité affiche un score CVSS de 9,8 sur 10. Il s'agit d'une faille de type Server-Side Request Forgery (SSRF) non authentifiée dans Oracle PeopleSoft Enterprise PeopleTools versions 8.61 et 8.62 ; les chercheurs estiment que les versions antérieures non supportées sont tout aussi exposées. Aucun identifiant n'est requis pour la déclencher — un attaquant disposant d'un simple accès réseau via HTTP peut atteindre les endpoints concernés et progresser vers une Remote Code Execution.

Ce qui a été exploité et comment

Le composant vulnérable est l'Environment Management Hub de PeopleSoft, connu sous le nom de PSEMHUB. Deux endpoints spécifiques ont été ciblés : /PSEMHUB/hub et /PSIGW/HttpListeningConnector. Ces interfaces étant parfois exposées sur internet pour des raisons de commodité administrative, ShinyHunters a pu les sonder et les compromettre à grande échelle sans aucun point d'appui préalable dans les réseaux des victimes.

Une fois à l'intérieur, le groupe a établi sa persistance via un serveur command-and-control à l'adresse azurenetfiles.net — un domaine conçu pour se fondre dans l'infrastructure légitime d'Azure NetApp Files. Le mouvement latéral était automatisé via des scripts shell propres à chaque victime, suivant le schéma de nommage [victim]_fanout.sh. Les répertoires PeopleSoft compromis recevaient une signature : un fichier texte brut nommé README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT.

Mandiant a relevé que cette attaque marque une évolution tactique pour ShinyHunters. Le groupe s'était forgé sa réputation grâce aux campagnes de vishing et au vol de tokens OAuth — des méthodes reposant sur la manipulation humaine. Weaponiser une vulnérabilité côté serveur non corrigée dans un logiciel ERP on-premises largement déployé relève d'une catégorie de capacités différente, et a produit des résultats proportionnellement plus importants.

Ampleur et dommages confirmés

Au moment de la publication de l'avis d'Oracle, plus de 100 organisations avaient été compromises à travers 300+ instances PeopleSoft. La répartition sectorielle est frappante : 68 % des victimes appartiennent à l'enseignement supérieur, principalement des collèges et universités américains. PeopleSoft reste profondément ancré dans les systèmes RH, de gestion des dossiers étudiants et financiers des universités — une combinaison qui a fait de ces établissements des cibles à haute valeur ajoutée et des victimes à fort impact.

L'Université de Nottingham a confirmé une intrusion. Have I Been Pwned a recensé 455 000 adresses e-mail uniques issues des données divulguées, avec des enregistrements incluant noms, adresses postales, numéros de téléphone, numéros de passeport, origine ethnique et informations relatives au handicap. La sensibilité de ce jeu de données — couvrant des catégories protégées par le RGPD et les législations équivalentes — expose les personnes concernées à des risques élevés de fraude à l'identité et de phishing ciblé pour les années à venir.

ShinyHunters a déclaré publiquement que la prise de contact avec les victimes ne fait que commencer. Des organisations supplémentaires devraient s'attendre à être nommées au fur et à mesure que le groupe avance dans son pipeline d'extorsion.

La CISA a ajouté CVE-2026-35273 à son catalogue Known Exploited Vulnerabilities (KEV) le 12 juin, deux jours après l'avis d'Oracle. Les agences fédérales relevant de la directive de la CISA sont tenues de remédier selon un calendrier accéléré, mais l'inscription au KEV constitue également un signal formel adressé au secteur dans son ensemble, confirmant que l'exploitation est avérée et active.

Ce que les défenseurs doivent faire maintenant

Oracle a publié un correctif. Appliquez-le immédiatement. Pour les organisations qui ne peuvent pas appliquer le correctif dans l'immédiat, deux mesures d'atténuation temporaires sont disponibles :

  • Désactiver entièrement le service PSEMHUB s'il n'est pas opérationnellement indispensable. Cela supprime la surface d'attaque à sa racine.
  • Bloquer l'accès externe au niveau du périmètre réseau vers les chemins /PSEMHUB/* et /PSIGW/HttpListeningConnector. Ne jamais exposer ces endpoints sur l'internet public, en aucune circonstance.

Mandiant a explicitement averti que les règles d'inspection du corps des requêtes par WAF seules ne sont pas suffisantes pour bloquer l'exploitation de cette vulnérabilité. Les organisations ayant déployé des web application firewalls comme principal contrôle sans avoir suivi les étapes ci-dessus doivent se considérer comme non protégées jusqu'à ce qu'elles le fassent.

Au-delà des correctifs et des contrôles d'accès, les défenseurs doivent rechercher les IOC connus dans leurs environnements :

  • Connexions sortantes ou requêtes DNS vers azurenetfiles.net
  • Scripts shell sur les hôtes PeopleSoft correspondant au schéma de nommage [victim]_fanout.sh
  • Présence de README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT dans tout répertoire PeopleSoft
  • Requêtes HTTP inhabituelles vers les endpoints PSEMHUB ou PSIGW dans les journaux des serveurs web et applicatifs

Étant donné que la fenêtre d'exploitation s'est ouverte le 27 mai, toute organisation exploitant une instance PeopleSoft accessible sur internet en versions 8.61 ou 8.62 durant cette période devrait conduire une revue complète de réponse à incident, qu'elle ait ou non observé des indicateurs. L'absence de fichier README ne confirme pas un environnement sain — cela signifie que ShinyHunters n'en est peut-être pas encore au stade de l'extorsion.

La combinaison d'un score CVSS quasi parfait, d'une absence totale d'exigence d'authentification et d'une avance de deux semaines sur les défenseurs fait de CVE-2026-35273 l'une des vulnérabilités d'entreprise les plus graves de 2026. La fenêtre d'action préventive est fermée. Celle du confinement et de la réponse est ouverte maintenant.

zero-daydata-breachshinyhuntersoraclepeoplesoftcve-2026-35273

Originally reported by The Hacker News. Read the original article for additional details.

View original source
Partager: