CVE-2026-35273 et CVE-2026-35278, deux RCE pré-authentifiées CVSS 9.8 dans Oracle PeopleSoft PeopleTools, ont permis au groupe ShinyHunters de compromettre plus de 100 organisations. Appliquer le CPU juillet 2026 en urgence absolue.
En bref
- CVE-2026-35273 et CVE-2026-35278 : deux failles RCE pré-authentifiées (CVSS 9.8) dans Oracle PeopleSoft PeopleTools 8.61 et 8.62, permettant une compromission complète sans aucun identifiant
- Systèmes affectés : toutes instances PeopleSoft Enterprise PeopleTools 8.61 et 8.62, notamment les composants Updates Environment Management et Performance Monitor exposés au réseau
- Action urgente : appliquer immédiatement l'Oracle Critical Patch Update de juillet 2026 ; isoler les instances exposées sur Internet dans l'attente du patch ; auditer les journaux d'accès depuis début juin 2026
Les faits
Oracle a publié son Critical Patch Update (CPU) de juillet 2026 le 8 juillet 2026, corrigeant des centaines de vulnérabilités dans l'ensemble de son portefeuille logiciel. Parmi les entrées les plus critiques figurent CVE-2026-35273 et CVE-2026-35278, deux vulnérabilités distinctes de type Remote Code Execution (RCE) pré-authentifié dans Oracle PeopleSoft Enterprise PeopleTools, le socle technique commun à toutes les applications PeopleSoft — ressources humaines, finances, étudiant, supply chain. Ces deux CVE partagent un score CVSS 3.1 de 9.8 sur 10 et un vecteur identique (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), signifiant qu'un attaquant distant, sans aucun identifiant ni interaction de l'utilisateur cible, peut compromettre intégralement le serveur PeopleSoft ainsi que le système d'exploitation hôte sous-jacent.
CVE-2026-35278 touche le composant Performance Monitor de PeopleTools. Ce module de supervision interne, habituellement accessible uniquement depuis le réseau d'administration, est dans de nombreux déploiements exposé directement sur Internet ou sur des segments réseau insuffisamment cloisonnés. Une requête HTTP spécialement forgée contre cet endpoint suffit à déclencher l'exécution de code arbitraire sur le serveur d'application, sans qu'aucun token d'authentification ne soit requis. Le groupe d'attaquants ShinyHunters — connu pour ses brèches massives chez des entreprises comme AT&T, Ticketmaster et plusieurs universités — a exploité cette vulnérabilité comme point d'entrée initial dans sa campagne lancée début juin 2026.
CVE-2026-35273, dans le composant Updates Environment Management, constitue la deuxième étape de la chaîne d'attaque documentée par Rapid7 et Google Cloud Mandiant. Une fois un premier accès obtenu via CVE-2026-35278, l'attaquant exploite ce second vecteur pour élargir ses privilèges et pivoter sur le réseau interne. Les deux vulnérabilités partagent la même famille technique : une absence totale de validation d'authentification sur des endpoints HTTP exposant des fonctionnalités de gestion système critiques. Le type de faille est un contrôle d'accès insuffisant (CWE-284) combiné à une injection de commande au niveau du système d'exploitation.
L'impact réel est considérable. Les chercheurs d'Arctic Wolf et de Rapid7 ont publié des rapports de threat intelligence confirmant que plus de 100 organisations distinctes ont été compromises avant la disponibilité du correctif. Le secteur éducatif est particulièrement touché : universités américaines, européennes et australiennes dont les systèmes de gestion étudiante, de paie et d'administration académique reposent sur PeopleSoft. Selon les IoC publiés par Mandiant, les attaquants ont procédé à une exfiltration massive de données : données personnelles d'étudiants et d'employés, informations financières, données RH, et dans certains cas accès aux annuaires LDAP internes et aux systèmes de Single Sign-On interconnectés.
La chronologie de la campagne est préoccupante. Les premières détections d'exploitation remontent au début du mois de juin 2026, soit plusieurs semaines avant la publication du correctif par Oracle. Cela confirme que CVE-2026-35273 et CVE-2026-35278 ont été exploitées comme zero-days pendant une période prolongée. Oracle a réagi en publiant un Security Alert hors-cycle mi-juin 2026 spécifiquement pour CVE-2026-35273, avant l'inclusion des deux CVE dans le CPU trimestriel de juillet. Cette publication hors-cycle — exceptionnelle chez Oracle — témoigne de la sévérité de la situation et de l'urgence reconnue par l'\eacute;diteur lui-même.
Du point de vue technique, les serveurs PeopleSoft exposent de nombreux endpoints HTTP sur des ports dédiés (typiquement 8000, 8443, 9000). Le composant Performance Monitor opère sur un port distinct du portail principal, et sa surface d'attaque est souvent négligée dans les matrices de contrôle d'accès réseau. Les requêtes malveillantes documentées utilisent des méthodes HTTP standard (GET/POST) et des en-têtes ordinaires : aucune technique d'obfuscation avancée n'est requise, ce qui rend l'exploitation accessible à un large spectre d'acteurs malveillants au-delà de ShinyHunters seul. Le délai d'exploitation après découverte est minimal, confirmé par les honeypots de Rapid7.
Aucun PoC (proof-of-concept) n'a été rendu public à ce jour, ce qui suggère que la technique d'exploitation reste pour l'instant maîtrisée par un nombre limité d'acteurs sophistiqués. Cependant, les publications des chercheurs de Rapid7, Mandiant et Arctic Wolf fournissent suffisamment d'informations techniques pour qu'une weaponisation plus large soit attendue dans les prochains jours. Le cycle habituel d'exploitation de masse — de la divulgation de détails techniques au déploiement de scripts automatisés — est généralement de 48 à 72 heures pour des failles de ce niveau de criticité. Les administrateurs PeopleSoft doivent traiter ce risque comme immédiat.
Oracle recommande dans son advisory CPU juillet 2026 une priorité de remédiation maximale pour l'ensemble des instances PeopleSoft. Les versions affectées sont PeopleTools 8.61 et 8.62 ; les versions antérieures (8.59, 8.60) ne sont plus dans la fenêtre de support Oracle et doivent être considérées comme vulnérables sans correctif disponible. Selon les données de Censys et Shodan, plusieurs milliers d'instances PeopleSoft sont directement accessibles depuis Internet, représentant une surface d'attaque significative pour des attaquants automati sant leurs recherches de cibles via des outils de scan réseau.
Impact et exposition
Les organisations les plus exposées sont celles qui hébergent des instances PeopleSoft PeopleTools 8.61 ou 8.62 avec les composants Performance Monitor ou Updates Environment Management accessibles depuis des réseaux non cloisonnés. Le secteur de l'enseignement supérieur est surreprésenté parmi les victimes confirmées, de nombreuses universités ayant adopté PeopleSoft comme système de gestion étudiante (Student Information System) et RH. Les grandes entreprises et administrations utilisant PeopleSoft Financials ou HCM (Human Capital Management) sont également dans le périmètre de risque.
La condition d'exploitation est minimale : un accès réseau aux ports de service PeopleSoft suffit. Aucune authentification, aucune interaction utilisateur, aucune configuration particulière n'est requise. L'exploitation est confirmée dans la nature depuis début juin 2026, soit plus d'un mois d'exposition active pour les organisations n'ayant pas encore appliqué le Security Alert hors-cycle d'Oracle. La post-exploitation documentée inclut : création de backdoors persistantes, exfiltration de la base de données Oracle sous-jacente, accès aux intégrations SSO/LDAP, et dans certains cas déploiement de ransomware sur les systèmes interconnectés.
La surface d'attaque dépasse les seuls serveurs PeopleSoft. Dans les architectures d'entreprise typiques, le serveur d'application PeopleSoft est interconnecté à la base de données Oracle, aux annuaires Active Directory, aux systèmes de paie et à des API partenaires. Une compromission du serveur d'application ouvre un vecteur de pivot réseau vers l'ensemble de l'infrastructure d'entreprise. L'absence de PoC public ne doit pas induire un faux sentiment de sécurité : ShinyHunters a démontré sa capacité à monétiser rapidement les données exfiltrées via des reventes sur des forums cybercriminels et des tentatives d'extorsion directe des organisations victimes.
Les données PeopleSoft — données d'identité, numéros de sécurité sociale, informations bancaires pour les paies, dossiers académiques — ont une valeur marchande élevée sur les marchés de la cybercriminalité. Les organisations victimes font face à des risques multiples : sanctions RGPD pour notification tardive de violation, responsabilité vis-à-vis des personnes dont les données ont été exfiltrées, et impact réputationnel significatif dans le secteur éducatif notamment.
Recommandations immédiates
- Appliquer sans délai l'Oracle Critical Patch Update de juillet 2026 pour PeopleSoft PeopleTools 8.61 et 8.62 — Oracle CPU July 2026 Security Advisory
- Si le patch ne peut être appliqué immédiatement : restreindre l'accès réseau aux ports de service PeopleSoft aux seuls réseaux d'administration via ACL ou firewall
- Auditer les journaux d'accès HTTP des serveurs PeopleSoft depuis le 1er juin 2026 pour détecter des accès anormaux aux endpoints /psc/, /pspc/, /PSIGW/ sans session authentifiée
- Vérifier l'intégrité des comptes administrateurs PeopleSoft et des intégrations SSO/LDAP — rechercher des comptes créés ou modifiés après le 1er juin 2026
- IoC : adresses IP d'origine associées aux attaques ShinyHunters disponibles dans le rapport Google Cloud Threat Intelligence — July 2026 PeopleSoft Campaign (Mandiant)
- Pour les versions hors support (8.59, 8.60) : envisager une migration d'urgence ou un isolement complet du système
⚠️ Urgence critique
Exploitation active confirmée dans la nature depuis début juin 2026 par le groupe ShinyHunters. Plus de 100 organisations déjà compromises. Si votre organisation utilise Oracle PeopleSoft PeopleTools 8.61 ou 8.62 et n'a pas encore appliqué le Security Alert hors-cycle ou le CPU de juillet 2026, considérez votre système comme potentiellement compromis et déclenchez immédiatement une procédure de réponse à incident.
Comment savoir si je suis vulnérable ?
Vérifiez votre version PeopleTools via le portail d'administration PeopleSoft (PeopleTools > Utilities > Administration > PeopleTools Options — champ "PeopleTools Release"). Si la version affichée est 8.61.xx ou 8.62.xx et que le CPU juillet 2026 n'a pas été appliqué, votre système est vulnérable. Vérifiez également l'exposition réseau des composants Performance Monitor et Updates Environment Management : netstat -tlnp | grep -E '808[0-9]|900[0-9]' sur le serveur d'application, et testez l'accessibilité depuis Internet via un scan Shodan ou Censys sur votre plage d'IP publiques.
Votre infrastructure PeopleSoft est-elle exposée ?
Ayi NEDJIMI réalise des audits ciblés pour identifier et corriger vos vulnérabilités.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Testez vos connaissances
Mini-quiz de certification lié à cet article — propulsé par CertifExpress
Articles connexes
CVE-2026-50746 : RCE CVSS 10.0 Ubiquiti UniFi Connect, 100 000 endpoints
CVE-2026-50746 : injection de commandes OS CVSS 10.0 pré-authentifiée dans Ubiquiti UniFi Connect Application <= 3.4.16. Environ 100 000 endpoints exposés sur Internet. Exploitation de masse imminente. Mettre à jour vers 3.4.20 en urgence.
CVE-2026-50656 RoguePlanet : 0-day Defender LPE SYSTEM, patch urgence
CVE-2026-50656 alias RoguePlanet : élévation de privilèges SYSTEM (CVSS 7.8) dans le Malware Protection Engine de Microsoft Defender. Exploit public depuis 30 jours, campagnes ransomware actives. Patch d'urgence le 9 juillet 2026.
CVE-2026-47291 : RCE Windows HTTP.sys CVSS 9.8 non-auth
CVE-2026-47291 : débordement d'entier dans HTTP.sys Windows (mode noyau), CVSS 9.8, permettant une RCE non-authentifiée sur toutes les versions Windows depuis un simple paquet HTTP. Marqué « exploitation plus probable » par Microsoft. Patch disponible depuis le Patch Tuesday de juin 2026.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire