Oracle PeopleSoft: faille activement exploitée, CISA alerte

6 Min. temps de lecture

Une faille critique dans Oracle PeopleSoft a été exploitée activement pour des attaques par ransomware entre fin mai et début juin, poussant l’agence américaine de cybersécurité CISA à réagir. Le 12 juin 2026, la CISA a intégré la vulnérabilité CVE-2026-35273 dans son catalogue des vulnérabilités exploitées connues, confirmant ainsi son utilisation par des acteurs malveillants spécialisés dans les ransomwares. Selon les chercheurs en sécurité de Mandiant, ces attaques seraient attribuées au groupe ShinyHunters, qui aurait ciblé principalement le secteur de l’enseignement supérieur entre le 27 mai et le 9 juin. Rapid7 a également observé l’exploitation de cette faille chez plusieurs de ses clients. Les utilisateurs de PeopleSoft doivent vérifier leur niveau de correctif sans attendre la prochaine fenêtre de maintenance.

À lire aussi :Priorisation des correctifs : pourquoi le CVSS seul ne suffit pas au SOC  /  Quand le serveur de sauvegarde devient lui-même une faille de sécurité

Pourquoi cette faille est si dangereuse

La CVE-2026-35273 se situe dans Oracle PeopleSoft Enterprise PeopleTools, et selon les rapports concordants, les versions 8.61 et 8.62 sont concernées. La classification technique indique une absence d’authentification pour une fonction critique, ce qui se traduit en pratique par une chaîne d’attaques allant de la Server-Side Request Forgery (SSRF) à l’exécution de code sans authentification. Avec un score CVSS de 9,8, cette vulnérabilité se situe en haut de l’échelle de criticité.

Le point décisif réside dans le terme *non authentifié*. Un attaquant n’a pas besoin de posséder des identifiants volés ni de franchir une quelconque étape d’authentification. Une instance PeopleSoft accessible et non corrigée suffit. Comme PeopleSoft gère dans de nombreuses organisations des données sensibles – personnelles, financières ou étudiantes –, l’impact potentiel est particulièrement élevé.

La chaîne technique explique pourquoi cette faille est si efficace. La Server-Side Request Forgery amène le serveur vulnérable à effectuer des requêtes vers des cibles inaccessibles pour l’attaquant, comme des services internes protégés par un pare-feu. Combinée à l’absence d’authentification, cette technique devient un levier permettant, depuis l’extérieur, d’exécuter du code arbitraire sur le serveur. Cette combinaison de faiblesses individuelles en un chemin d’attaque continu transforme une simple absence d’authentification en une exécution de code à distance.

Qui attaque et qui a été touché jusqu’à présent

Mandiant attribue l’exploitation observée au groupe ShinyHunters, référencé en interne sous le nom UNC6240. Selon les chercheurs, la période d’attaque s’est située entre le 27 mai et le 9 juin 2026, soit avant qu’un correctif ne soit largement disponible. Cela fait de cette faille une véritable zero-day : exploitée avant que les défenseurs n’aient pu réagir.

Dans un premier temps, le secteur de l’enseignement supérieur a été visé. Les universités utilisent fréquemment PeopleSoft pour la gestion administrative et des étudiants, ce qui en fait des cibles attractives. Les attaques ont abouti à des ransomwares, c’est-à-dire à du chiffrement et à de l’extorsion. Ce qui a commencé avec les universités peut s’appliquer à toute organisation disposant d’une instance PeopleSoft exposée.

Pourquoi le délai CISA concerne aussi la zone DACH

Le délai contraignant pour les agences fédérales américaines a expiré le 15 juin, conformément à la directive CISA BOD 26-04. Pourtant, l’inscription au catalogue reste pertinente pour tous. Elle constitue la confirmation officielle que la faille a été activement exploitée. Un risque théorique est devenu une attaque avérée. Cela modifie l’évaluation des risques : un système non patché est désormais considéré comme une cible probable, et non plus comme un risque résiduel latent.

Pour les exploitants allemands, s’ajoute l’aspect réglementaire. Ceux qui relèvent de NIS2 doivent de toute façon démontrer leur gestion des vulnérabilités et leur capacité de réaction. Laisser une faille connue et activement exploitée sans correctif serait difficile à justifier en cas d’incident. Le catalogue CISA constitue donc, même en dehors des États-Unis, un outil utile pour prioriser la gestion des correctifs.

Que doivent faire les exploitants maintenant

La première étape consiste à faire un inventaire : PeopleSoft Enterprise PeopleTools est-il utilisé quelque part, et l’instance est-elle accessible depuis le réseau ? La deuxième étape consiste à appliquer la mise à jour de sécurité fournie par Oracle, en priorité sur les cycles de maintenance réguliers. Lorsque l’application immédiate du correctif n’est pas possible, il est utile de restreindre l’accessibilité de l’application et de placer l’accès derrière des contrôles supplémentaires.

La troisième étape consiste à partir du principe que l’incident a peut-être déjà eu lieu. Compte tenu de l’exploitation depuis fin mai, chaque instance exposée doit être vérifiée pour détecter une éventuelle compromission avant d’être simplement patchée. Une mise à jour aveugle pourrait effacer des traces sans pour autant éliminer un attaquant déjà installé. Pour savoir comment prioriser les vulnérabilités au-delà de la simple valeur CVSS, l’analyse sur la priorisation des correctifs dans le SOC apporte des éclaircissements.

Concrètement, la vérification de compromission implique : examiner les logs des serveurs web et des applications pour détecter des requêtes inhabituelles vers la composante PeopleSoft, contrôler les nouveaux comptes créés et les modifications de droits, vérifier les connexions sortantes vers des destinations inconnues et rechercher des web shells déposées. Si des éléments suspects sont trouvés, le cas doit être traité comme un incident et non comme une mise à jour de routine, incluant une restauration propre à partir de sauvegardes vérifiées. Une stratégie de sauvegarde et de secours préparée à l’avance, prête à être déployée en cas d’urgence, fait alors la différence en termes de temps d’indisponibilité.

Foire aux questions

Quels systèmes sont concernés par CVE-2026-35273 ?

Oracle PeopleSoft Enterprise PeopleTools, selon les rapports concordants, les versions 8.61 et 8.62. Pour votre propre parc, il faut toujours se référer à l’avis officiel d’Oracle.

Pourquoi cette faille est-elle particulièrement critique ?

Parce qu’elle est exploitable sans authentification et permet l’exécution de code, selon les avis de sécurité. Le score CVSS de 9,8 reflète cette criticité. Une instance accessible et non patchée suffit pour mener une attaque.

Qui se cache derrière ces attaques ?

Mandiant attribue l’exploitation observée au groupe ShinyHunters, référencé en interne sous le nom UNC6240. La période d’attaque s’est étendue du 27 mai au 9 juin 2026, ciblant initialement le secteur universitaire.

Le délai imposé par la CISA s’applique-t-il aussi en Allemagne ?

Formellement, ce délai ne concerne que les agences fédérales américaines. Cependant, cette inscription au catalogue constitue une confirmation officielle d’une exploitation active, servant ainsi d’indication claire pour prioriser les mesures dans la zone DACH, notamment dans le cadre de NIS2.

Est-il suffisant de simplement corriger la faille ?

Corriger la faille est une obligation, mais face à une vulnérabilité exploitée depuis fin mai, cela ne suffit pas. Chaque instance exposée doit être vérifiée pour détecter d’éventuels signes de compromission, sans quoi un attaquant déjà infiltré pourrait rester indétecté.

À lire également

• Sauvegarde contre les ransomwares : 3-2-1-1-0 au lieu de 3-2-1
• Appareil Edge comme porte d’entrée des ransomwares : pourquoi la MFA sur le VPN compte
• Sécurité des API : l’angle mort derrière chaque intégration

Plus d’articles du réseau MBF Media

Source de l’image : générée par IA (juin 2026)

À propos de l'auteur: Benedikt Langer

Plus d'articles de Benedikt Langer