IRCNF
Security

ShinyHunters a exploité un zero-day Oracle PeopleSoft pendant des semaines avant qu'un correctif n'existe

SecurityWeek
Partager:
ShinyHunters a exploité un zero-day Oracle PeopleSoft pendant des semaines avant qu'un correctif n'existe

Le Google Threat Intelligence Group et Mandiant ont confirmé que ShinyHunters, le groupe prolixe d'extorsion de données suivi en interne sous l'identifiant UNC6240, a exploité une vulnérabilité critique d'Oracle PeopleSoft en tant que zero-day pendant près de deux semaines avant qu'Oracle ne publie la moindre atténuation. La faille CVE-2026-35273 obtient un score CVSS de 9.8 et permet l'exécution de code à distance sans authentification via le composant Environment Management de PeopleSoft.

Oracle a publié une alerte d'urgence hors bande le 10 juin, mais à ce jour aucun patch n'est disponible — seulement des contournements. L'écart est significatif car l'exploitation a débuté dès le 27 mai, offrant aux attaquants près de deux semaines d'accès sans entrave aux systèmes vulnérables.

Qui a été touché

Google a notifié plus de 100 organisations dont les adresses IP correspondaient à des endpoints PeopleSoft potentiellement exposés. Parmi elles, 68% opèrent dans l'enseignement supérieur et la plupart sont basées aux États-Unis. L'Université de Nottingham au Royaume-Uni est la première victime confirmée publiquement ; les données volées ont été publiées sur le site de fuite de ShinyHunters le 9 juin.

Comment l'attaque a fonctionné

Selon le rapport Mandiant et GTIG, les attaquants ont configuré des serveurs de staging hébergeant des agents MeshCentral déguisés en endpoints d'infrastructure cloud légitimes, exécuté des requêtes de commandes administratives et déployé un script de déplacement latéral personnalisé pour se propager dans les réseaux et exfiltrer des données.

Ce que les administrateurs doivent faire maintenant

PeopleSoft Enterprise PeopleTools versions 8.61 et 8.62, ainsi que PeopleSoft Enterprise Applications, sont concernés. L'avis Oracle inclut des recommandations de durcissement et des atténuations réseau à appliquer immédiatement. Google a également publié des indicateurs de compromission de la campagne ShinyHunters utilisables pour la chasse aux menaces.

cybersecurityzero-daydata-breachshinyhuntersoraclepeoplesofthigher-education

Originally reported by SecurityWeek. Read the original article for additional details.

View original source
Partager: