CVE-2026-35273 : Zero-Day Oracle PeopleSoft Exploité dans la Nature
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Une faille critique de type zero-day dans le composant Environment Management des mises à jour d’Oracle PeopleSoft est actuellement exploitée pour l’exécution de code à distance. Le problème est classé comme une vulnérabilité de type Server-Side Request Forgery et peut être exploité par des attaquants non authentifiés pour compromettre les systèmes exposés. L’activité a été liée au groupe de menaces à motivation financière ShinyHunters.
Enquête
Mandiant a observé une exploitation active du 27 mai au 9 juin 2026, avant qu’Oracle ne publie son avis de sécurité. Leur enquête a montré que les attaquants ciblaient PSEMHUB des points de terminaison pour obtenir l’exécution de code à distance et déployer des agents MeshCentral pour maintenir un accès distant persistant. Le secteur de l’enseignement supérieur était une cible majeure de la campagne, et les chercheurs ont noté un vol de données substantiel lors des intrusions.
Atténuation
Les organisations doivent appliquer d’urgence le correctif hors bande d’Oracle pour les versions 8.61 et 8.62 de PeopleTools. D’autres mesures défensives incluent la désactivation du service Environment Management Hub et le blocage de l’accès externe à /PSEMHUB/* and /PSIGW/HttpListeningConnector. La surveillance du trafic SMB sortant sur le port 445 vers des destinations non fiables est également recommandée comme contrôle compensatoire.
Réponse
En cas de suspicion d’exploitation, les organisations doivent enquêter sur une éventuelle compromission même après l’application du correctif. Les vérifications prioritaires devraient inclure la présence inattendue de .jsp fichiers, de répertoires non autorisés dans les PSEMHUB chemins, et des connexions SMB sortantes vers des adresses IP externes. Les équipes de sécurité devraient également rechercher les agents MeshCentral usurpant l’identité et passer en revue les répertoires de métadonnées de l’environnement pour détecter des modifications non autorisées des fichiers XML.
Flux d’attaque
Détections
Tentative possible d’installation de logiciels RMM de l’agent Mesh (via registry_event)
Voir
Tentative possible d’utilisation d’Utility MeshAgent (via process_creation)
Voir
IOCs (HashSha256) pour détecter : Exploitation active de la faille zero-day d’Oracle PeopleSoft (CVE-2026-35273)
Voir
IOCs (SourceIP) pour détecter : Exploitation active de la faille zero-day d’Oracle PeopleSoft (CVE-2026-35273)
Voir
IOCs (DestinationIP) pour détecter : Exploitation active de la faille zero-day d’Oracle PeopleSoft (CVE-2026-35273)
Voir
Détecter l’exploitation de la faille zero-day d’Oracle PeopleSoft CVE-2026-35273 [Serveur Web]
Voir
Détection d’exploitation active de la faille zero-day d’Oracle PeopleSoft CVE-2026-35273 [Pare-feu]
Voir
Exécution de simulation
Prérequis : La vérification de prévol télémétrie & de base doit avoir réussi.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront des erreurs de diagnostic.
-
Récit de l’attaque & Commandes : L’adversaire effectue une analyse automatisée pour identifier les instances vulnérables d’Oracle PeopleSoft. Leur objectif est d’identifier les cibles susceptibles au CVE-2026-35273. Ils enverront des requêtes HTTP GET spécifiquement conçues aux chemins URI sensibles identifiés. Si le serveur répond avec un 200 OK ou une erreur 500 (au lieu d’un 404), l’adversaire confirme la présence de l’application et procède avec la charge utile d’exploitation.
-
Script de test de régression :
#!/bin/bash # Script de simulation pour la validation de détection URI CVE-2026-35273 TARGET="http://<TARGET_IP>" ENDPOINTS=("/PSEMHUB/hub" "/PSIGW/HttpListeningConnector") echo "[+] Début de la simulation d'accès URI CVE-2026-35273..." for uri in "${ENDPOINTS[@]}" do echo "[*] Envoi de la requête à : $uri" # Nous utilisons -v pour voir les en-têtes, bien que le SIEM ait seulement besoin de l'entrée du journal curl -s -v "$TARGET$uri" -o /dev/null echo "[+] Requête envoyée." done echo "[+] Simulation terminée. Vérifiez les alertes SIEM correspondant aux URI." -
Commandes de nettoyage :
# Aucune modification persistante n'est effectuée par cette simulation; # cependant, nettoyez les journaux d'accès du serveur Web si vous testez dans un environnement destructeur. # Pour Linux: # sudo truncate -s 0 /var/log/apache2/access.log