Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Une faille critique de type zero-day dans le composant Environment Management des mises à jour d’Oracle PeopleSoft est actuellement exploitée pour l’exécution de code à distance. Le problème est classé comme une vulnérabilité de type Server-Side Request Forgery et peut être exploité par des attaquants non authentifiés pour compromettre les systèmes exposés. L’activité a été liée au groupe de menaces à motivation financière ShinyHunters.
Enquête
Mandiant a observé une exploitation active du 27 mai au 9 juin 2026, avant qu’Oracle ne publie son avis de sécurité. Leur enquête a montré que les attaquants ciblaient PSEMHUB des points de terminaison pour obtenir l’exécution de code à distance et déployer des agents MeshCentral pour maintenir un accès distant persistant. Le secteur de l’enseignement supérieur était une cible majeure de la campagne, et les chercheurs ont noté un vol de données substantiel lors des intrusions.
Atténuation
Les organisations doivent appliquer d’urgence le correctif hors bande d’Oracle pour les versions 8.61 et 8.62 de PeopleTools. D’autres mesures défensives incluent la désactivation du service Environment Management Hub et le blocage de l’accès externe à /PSEMHUB/* and /PSIGW/HttpListeningConnector. La surveillance du trafic SMB sortant sur le port 445 vers des destinations non fiables est également recommandée comme contrôle compensatoire.
Réponse
En cas de suspicion d’exploitation, les organisations doivent enquêter sur une éventuelle compromission même après l’application du correctif. Les vérifications prioritaires devraient inclure la présence inattendue de .jsp fichiers, de répertoires non autorisés dans les PSEMHUB chemins, et des connexions SMB sortantes vers des adresses IP externes. Les équipes de sécurité devraient également rechercher les agents MeshCentral usurpant l’identité et passer en revue les répertoires de métadonnées de l’environnement pour détecter des modifications non autorisées des fichiers XML.
graph TB %% Section de définition des classes classDef exploit fill:#ff9999 %% Rouge pour l’exploitation et l’accès initial classDef credential fill:#ffff99 %% Jaune pour l’accès aux identifiants classDef persistence fill:#99ff99 %% Vert pour la persistance classDef recon fill:#99ccff %% Bleu pour la reconnaissance et la collecte classDef exfil fill:#cc99ff %% Violet pour l’exfiltration et le déplacement des données %% Définition des nœuds exploit_ssrf[« <b>Action</b> – <b>T1210 Exploitation des Services Distants</b><br/><b>Description</b> : Exploitation d’une vulnérabilité SSRF critique<br/>zero-day dans Oracle PeopleSoft Updates Environment Management.<br/><b>CVE</b> : CVE-2026-35273<br/><b>Résultat</b> : Exécution de code à distance »] class exploit_ssrf exploit action_smb_capture[« <b>Action</b> – <b>T1212 SMB/Windows Admin Shares</b><br/><b>Description</b> : Création de connexions SMB sortantes vers des destinations<br/>externes afin de capturer les hachages NetNTLM des comptes machines Windows.<br/><b>Objectif</b> : Accès aux identifiants »] class action_smb_capture credential tool_meshcentral[« <b>Outil</b> – <b>T1219 Logiciel d’Accès à Distance</b><br/><b>Nom</b> : MeshCentral<br/><b>Description</b> : Déploiement d’agents de gestion à distance<br/>pour maintenir une présence dans l’environnement. »] class tool_meshcentral persistence action_masquerade[« <b>Action</b> – <b>T1651 Usurpation</b><br/><b>Description</b> : Les agents MeshCentral se font passer pour<br/>des services Microsoft Azure légitimes afin d’éviter la détection. »] class action_masquerade persistence action_valid_accounts[« <b>Action</b> – <b>T1078 Comptes Valides</b><br/><b>Description</b> : Utilisation de comptes valides pour<br/>maintenir un accès continu et une stabilité. »] class action_valid_accounts persistence action_recon[« <b>Action</b> – <b>Reconnaissance Interne</b><br/><b>Description</b> : Réalisation d’analyses internes et<br/>collecte de données provenant de différentes bases de données. »] class action_recon recon action_db_gather[« <b>Action</b> – <b>T1213.006 Données provenant des Référentiels d’Information : Bases de Données</b><br/><b>Description</b> : Collecte spécifique de données<br/>depuis des systèmes de bases de données internes. »] class action_db_gather recon action_compress[« <b>Action</b> – <b>T1560.003 Données Préparées : Compresser des Fichiers</b><br/><b>Description</b> : Les données volées sont compressées avec zstd<br/>afin de faciliter la collecte et l’exfiltration. »] class action_compress exfil action_exfil[« <b>Action</b> – <b>T1560 Données Préparées</b><br/><b>Description</b> : Collecte et préparation de données compressées<br/>avant l’exfiltration. »] class action_exfil exfil %% Connexions exploit_ssrf –>|mène_à| action_smb_capture action_smb_capture –>|active| tool_meshcentral tool_meshcentral –>|utilise| action_masquerade action_masquerade –>|soutenu_par| action_valid_accounts action_valid_accounts –>|permet| action_recon action_recon –>|mène_à| action_db_gather action_db_gather –>|résulte_en| action_compress action_compress –>|prépare| action_exfil
Flux d’attaque
Détections
Tentative possible d’installation de logiciels RMM de l’agent Mesh (via registry_event)
Voir
Tentative possible d’utilisation d’Utility MeshAgent (via process_creation)
Voir
IOCs (HashSha256) pour détecter : Exploitation active de la faille zero-day d’Oracle PeopleSoft (CVE-2026-35273)
Voir
IOCs (SourceIP) pour détecter : Exploitation active de la faille zero-day d’Oracle PeopleSoft (CVE-2026-35273)
Voir
IOCs (DestinationIP) pour détecter : Exploitation active de la faille zero-day d’Oracle PeopleSoft (CVE-2026-35273)
Voir
Détecter l’exploitation de la faille zero-day d’Oracle PeopleSoft CVE-2026-35273 [Serveur Web]
Voir
Détection d’exploitation active de la faille zero-day d’Oracle PeopleSoft CVE-2026-35273 [Pare-feu]
Voir
Exécution de simulation
Prérequis : La vérification de prévol télémétrie & de base doit avoir réussi.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront des erreurs de diagnostic.
-
Récit de l’attaque & Commandes : L’adversaire effectue une analyse automatisée pour identifier les instances vulnérables d’Oracle PeopleSoft. Leur objectif est d’identifier les cibles susceptibles au CVE-2026-35273. Ils enverront des requêtes HTTP GET spécifiquement conçues aux chemins URI sensibles identifiés. Si le serveur répond avec un 200 OK ou une erreur 500 (au lieu d’un 404), l’adversaire confirme la présence de l’application et procède avec la charge utile d’exploitation.
-
Script de test de régression :
#!/bin/bash # Script de simulation pour la validation de détection URI CVE-2026-35273 TARGET="http://<TARGET_IP>" ENDPOINTS=("/PSEMHUB/hub" "/PSIGW/HttpListeningConnector") echo "[+] Début de la simulation d'accès URI CVE-2026-35273..." for uri in "${ENDPOINTS[@]}" do echo "[*] Envoi de la requête à : $uri" # Nous utilisons -v pour voir les en-têtes, bien que le SIEM ait seulement besoin de l'entrée du journal curl -s -v "$TARGET$uri" -o /dev/null echo "[+] Requête envoyée." done echo "[+] Simulation terminée. Vérifiez les alertes SIEM correspondant aux URI." -
Commandes de nettoyage :
# Aucune modification persistante n'est effectuée par cette simulation; # cependant, nettoyez les journaux d'accès du serveur Web si vous testez dans un environnement destructeur. # Pour Linux: # sudo truncate -s 0 /var/log/apache2/access.log