En bref

  • ShinyHunters (UNC6240) a exploité CVE-2026-35273 (CVSS 9,8) dans Oracle PeopleSoft comme zero-day entre le 27 mai et le 9 juin 2026 — 15 jours avant le correctif Oracle
  • Plus de 100 organisations compromises, dont 68 % d'établissements d'enseignement supérieur américains ; 40 Go de données personnelles d'étudiants publiés sur le data leak site du groupe
  • Oracle a publié un correctif d'urgence hors-cycle le 11 juin ; CISA a ajouté CVE-2026-35273 au catalogue KEV le 12 juin 2026

Les faits

Entre le 27 mai et le 9 juin 2026, le groupe de cybercriminels ShinyHunters — suivi par Mandiant sous l'identifiant UNC6240 — a mené une campagne d'attaques coordonnée ciblant principalement le secteur de l'enseignement supérieur. Le vecteur d'exploitation était CVE-2026-35273, une vulnérabilité zero-day jusqu'alors inconnue dans Oracle PeopleSoft Enterprise PeopleTools, le progiciel de gestion des ressources humaines, financières et académiques déployé dans des centaines d'universités et d'administrations à travers le monde.

CVE-2026-35273 permet à un attaquant non authentifié disposant uniquement d'un accès réseau HTTP d'exécuter du code arbitraire à distance sur les serveurs PeopleSoft. La vulnérabilité réside dans le composant PeopleSoft Environment Management Hub (PSEMHUB), un outil d'administration utilisé pour coordonner les déploiements PeopleSoft multi-instances. Le score CVSS de 9,8 reflète l'absence totale de prérequis : aucune authentification, aucune interaction utilisateur, vecteur réseau, complexité d'attaque faible. L'exploitation réussie donne à l'attaquant une exécution de code au niveau du compte de service Oracle, avec un accès complet aux bases de données PeopleSoft sous-jacentes.

L'exploitation active a débuté le 27 mai 2026, soit quinze jours avant la publication de l'advisory Oracle et du correctif d'urgence. Pendant toute cette fenêtre, les instances PSEMHUB exposées sur Internet — environ 2 300 selon les données Shodan relevées lors de la découverte — étaient compromettables sans mécanisme de défense spécifique disponible. Mandiant, mandaté par plusieurs victimes pour répondre aux incidents, a confirmé l'attribution à UNC6240 le 9 juin 2026, jour où ShinyHunters a publié les premières données volées sur son Data Leak Site (DLS), signalant la transition de la phase d'exploitation silencieuse à la phase d'extorsion publique.

La campagne a touché plus de 100 organisations selon les données agrégées par Google Cloud Threat Intelligence, Rapid7 et CSO Online. Parmi ces victimes, 68 % sont des établissements d'enseignement supérieur américains — universités publiques et privées, community colleges, instituts de recherche — utilisant PeopleSoft Campus Solutions pour gérer les dossiers académiques. Les 32 % restants incluent des collectivités locales, des hôpitaux universitaires, et des organisations du secteur privé utilisant PeopleSoft HRMS ou Financials.

Les données exfiltrées publiées sur le DLS représentent environ 40 Go et comprennent des informations personnelles appartenant à des centaines de milliers d'étudiants actuels et anciens : noms, adresses électroniques et postales, numéros de téléphone, dates de naissance, numéros partiels de sécurité sociale, dossiers académiques (notes, inscriptions, résultats), et données de facturation relatives aux frais de scolarité. Selon Help Net Security, plusieurs universités américaines de premier rang figurent parmi les victimes confirmées, sans communication officielle publiée à ce stade.

Oracle a publié le 11 juin 2026 un correctif d'urgence hors-cycle (out-of-band) applicable aux versions PeopleTools 8.59.36 et 8.60.13. Un advisory de sécurité exceptionnel a été diffusé à tous les clients disposant d'un contrat de support Oracle avec demande de déploiement immédiat. La CISA a ajouté CVE-2026-35273 à son catalogue Known Exploited Vulnerabilities (KEV) le 12 juin 2026, enjoignant toutes les agences fédérales américaines à appliquer le patch avant le 19 juin 2026.

ShinyHunters est un groupe cybercriminel financièrement motivé, actif depuis au moins 2020, impliqué dans les compromissions de Ticketmaster (2024) et de plusieurs plateformes SaaS via l'exploitation de tokens Snowflake (2024). Cette campagne PeopleSoft marque une évolution notable dans leurs TTPs : au lieu d'exploiter des credentials volés ou des configurations cloud mal sécurisées, ils ont développé ou acquis un exploit zero-day ciblant une application on-premise critique — une montée en compétence technique significative pour un groupe historiquement orienté credential theft.

Rapid7 a publié le 11 juin 2026 un rapport d'exploitation active (ETR) avec des indicateurs de compromission détaillés : adresses IP des serveurs de commande et contrôle (C2) utilisés par UNC6240, user-agents spécifiques utilisés dans les requêtes d'exploitation PSEMHUB, et chemins d'URL ciblés. Ces IoC ont été partagés dans les plateformes MISP et OpenCTI, ainsi que dans la plateforme CERT-FR pour les organisations françaises concernées.

Impact et exposition

Oracle PeopleSoft est déployé dans plus de 6 800 organisations à travers le monde. Toutes les instances PeopleSoft Enterprise PeopleTools antérieures aux versions 8.59.36 et 8.60.13 sont vulnérables à CVE-2026-35273. Les instances exposant le composant PSEMHUB directement sur Internet sans restriction d'accès réseau constituent la population la plus exposée. En France, plusieurs établissements publics utilisent PeopleSoft dans le cadre de déploiements ministériels ; une vérification de version et d'exposition réseau est indispensable.

L'impact va au-delà du vol de données immédiat : plusieurs organisations ont signalé l'installation de webshells persistants dans les répertoires PS_HOME/webserv, permettant un accès discret maintenu même après l'application du correctif Oracle. Le patch seul ne garantit pas l'éradication d'une compromission préexistante — une investigation de threat hunting est nécessaire en parallèle du déploiement du correctif.

Recommandations

  • Appliquer immédiatement le correctif Oracle hors-cycle pour CVE-2026-35273 (PeopleTools 8.59.36 ou 8.60.13 minimum), disponible via My Oracle Support
  • Restreindre l'accès réseau au composant PSEMHUB aux seules adresses IP d'administration légitimes via pare-feu ou ACL réseau
  • Rechercher des signes de compromission avec les IoC publiés par Rapid7 : webshells dans PS_HOME/webserv, connexions sortantes vers les IPs C2 identifiées, nouveaux comptes de service PeopleSoft
  • Analyser les logs d'accès HTTP du serveur PeopleSoft pour des requêtes anormales vers les chemins PSEMHUB antérieures au 11 juin 2026
  • Notifier la CNIL et les personnes concernées en cas de confirmation d'exfiltration de données personnelles, conformément aux obligations RGPD (délai de 72 heures pour la notification à la CNIL)

Alerte critique

CVE-2026-35273 a été activement exploitée pendant 15 jours avant la publication du correctif Oracle. Si votre organisation utilise Oracle PeopleSoft, le patch et une investigation de compromission sont des priorités absolues. L'installation du correctif ne garantit pas l'absence d'une backdoor ou webshell préexistant installé durant la fenêtre d'exploitation.

Comment détecter si notre instance PeopleSoft a été compromise avant la publication du patch ?

Plusieurs indicateurs permettent de détecter une compromission. Recherchez des fichiers .jsp, .war ou .class inhabituels dans les répertoires PS_HOME/webserv, des requêtes HTTP anormales vers des chemins contenant « psemhub » ou « PSEMHUB » dans les logs d'accès antérieurs au 11 juin, des connexions sortantes vers des IPs non référencées dans votre plan réseau, et des modifications de comptes de service Oracle. Les IoC complets (hashes, IPs C2, patterns URL) sont disponibles dans le rapport ETR de Rapid7 et dans la plateforme MISP du CERT-FR.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit