Oracle a émis une alerte concernant une vulnérabilité critique de type zero-day dans la suite PeopleSoft, répertoriée sous le code CVE-2026-35273, qui permet l’exécution de code à distance sans nécessiter d’authentification. Cette faille est actuellement exploitée de manière active par le groupe d’extorsion ShinyHunters dans le cadre d’attaques visant le vol de données. Les versions 8.61 et 8.62 de PeopleSoft PeopleTools sont affectées par cette vulnérabilité. Oracle a publié des mesures d’atténuation d’urgence et prévoit de diffuser un correctif dans un avenir proche.
ShinyHunters a tiré parti de cette vulnérabilité pour infiltrer des instances de PeopleSoft et dérober des données, impactant plus de 100 organisations. Les attaques ont principalement visé le secteur de l’éducation, avec 68 % des organisations touchées basées aux États-Unis. Les attaquants ont utilisé des serveurs de mise en scène exposés pour héberger des services HTTP et ont déployé des agents de gestion à distance afin de communiquer avec leur infrastructure. Ils ont également mené des reconnaissances, cartographié les configurations de PeopleSoft et WebLogic, et utilisé des scripts pour se déplacer latéralement au sein des systèmes internes.
Mandiant recommande aux organisations de restreindre l’accès aux points d’extrémité vulnérables de PeopleSoft et de vérifier les journaux pour détecter des requêtes suspectes. Les signes de compromission incluent la présence inattendue de fichiers webshell .jsp, des fichiers non autorisés dans les dossiers de transaction PSEMHUB, ainsi que des fichiers XML récemment modifiés. ShinyHunters a récemment orchestré une attaque massive contre le secteur éducatif, ciblant Instructure Canvas et dérobant 280 millions de données.
