Oracle a alerté sur une vulnérabilité critique de type zero-day dans la suite PeopleSoft, identifiée comme CVE-2026-35273, qui permet l’exécution de code à distance sans authentification. Cette faille est activement exploitée par le groupe d’extorsion ShinyHunters lors d’attaques de vol de données. La vulnérabilité affecte les versions 8.61 et 8.62 de PeopleSoft PeopleTools. Oracle a publié des mesures d’atténuation d’urgence et prévoit un correctif prochainement.
ShinyHunters a exploité cette vulnérabilité pour s’introduire dans des instances PeopleSoft et voler des données, touchant plus de 100 organisations. Les attaques ont principalement ciblé le secteur de l’éducation, avec 68 % des organisations touchées basées aux États-Unis. Les attaquants ont utilisé des serveurs de mise en scène exposés pour héberger des services HTTP et ont déployé des agents de gestion à distance pour communiquer avec leur infrastructure. Ils ont également effectué des reconnaissances, cartographié les configurations de PeopleSoft et WebLogic, et utilisé des scripts pour se déplacer latéralement dans les systèmes internes.
Mandiant a conseillé aux organisations de restreindre l’accès aux points d’extrémité vulnérables de PeopleSoft et de vérifier les journaux pour détecter des requêtes suspectes. Les signes de compromission incluent des fichiers webshell .jsp inattendus, des fichiers non autorisés dans les dossiers de transaction PSEMHUB, et des fichiers XML récemment modifiés. ShinyHunters a récemment mené une attaque massive contre le secteur éducatif, ciblant Instructure Canvas et volant 280 millions de données.
