SOC Prime Bias: Critique

15 Jun 2026 16:03 UTC

CVE-2026-35273 : Zero-Day Oracle PeopleSoft Exploité dans la Nature

Author Photo
SOC Prime Team linkedin icon Suivre
CVE-2026-35273 : Zero-Day Oracle PeopleSoft Exploité dans la Nature
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Une faille critique de type zero-day dans le composant Environment Management des mises à jour d’Oracle PeopleSoft est actuellement exploitée pour l’exécution de code à distance. Le problème est classé comme une vulnérabilité de type Server-Side Request Forgery et peut être exploité par des attaquants non authentifiés pour compromettre les systèmes exposés. L’activité a été liée au groupe de menaces à motivation financière ShinyHunters.

Enquête

Mandiant a observé une exploitation active du 27 mai au 9 juin 2026, avant qu’Oracle ne publie son avis de sécurité. Leur enquête a montré que les attaquants ciblaient PSEMHUB des points de terminaison pour obtenir l’exécution de code à distance et déployer des agents MeshCentral pour maintenir un accès distant persistant. Le secteur de l’enseignement supérieur était une cible majeure de la campagne, et les chercheurs ont noté un vol de données substantiel lors des intrusions.

Atténuation

Les organisations doivent appliquer d’urgence le correctif hors bande d’Oracle pour les versions 8.61 et 8.62 de PeopleTools. D’autres mesures défensives incluent la désactivation du service Environment Management Hub et le blocage de l’accès externe à /PSEMHUB/* and /PSIGW/HttpListeningConnector. La surveillance du trafic SMB sortant sur le port 445 vers des destinations non fiables est également recommandée comme contrôle compensatoire.

Réponse

En cas de suspicion d’exploitation, les organisations doivent enquêter sur une éventuelle compromission même après l’application du correctif. Les vérifications prioritaires devraient inclure la présence inattendue de .jsp fichiers, de répertoires non autorisés dans les PSEMHUB chemins, et des connexions SMB sortantes vers des adresses IP externes. Les équipes de sécurité devraient également rechercher les agents MeshCentral usurpant l’identité et passer en revue les répertoires de métadonnées de l’environnement pour détecter des modifications non autorisées des fichiers XML.

Flux d’attaque

Exécution de simulation

Prérequis : La vérification de prévol télémétrie & de base doit avoir réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTP identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront des erreurs de diagnostic.

  • Récit de l’attaque & Commandes : L’adversaire effectue une analyse automatisée pour identifier les instances vulnérables d’Oracle PeopleSoft. Leur objectif est d’identifier les cibles susceptibles au CVE-2026-35273. Ils enverront des requêtes HTTP GET spécifiquement conçues aux chemins URI sensibles identifiés. Si le serveur répond avec un 200 OK ou une erreur 500 (au lieu d’un 404), l’adversaire confirme la présence de l’application et procède avec la charge utile d’exploitation.

  • Script de test de régression :

    #!/bin/bash
    # Script de simulation pour la validation de détection URI CVE-2026-35273
    
    TARGET="http://<TARGET_IP>"
    ENDPOINTS=("/PSEMHUB/hub" "/PSIGW/HttpListeningConnector")
    
    echo "[+] Début de la simulation d'accès URI CVE-2026-35273..."
    
    for uri in "${ENDPOINTS[@]}"
    do
        echo "[*] Envoi de la requête à : $uri"
        # Nous utilisons -v pour voir les en-têtes, bien que le SIEM ait seulement besoin de l'entrée du journal
        curl -s -v "$TARGET$uri" -o /dev/null
        echo "[+] Requête envoyée."
    done
    
    echo "[+] Simulation terminée. Vérifiez les alertes SIEM correspondant aux URI."
  • Commandes de nettoyage :

    # Aucune modification persistante n'est effectuée par cette simulation; 
    # cependant, nettoyez les journaux d'accès du serveur Web si vous testez dans un environnement destructeur.
    # Pour Linux:
    # sudo truncate -s 0 /var/log/apache2/access.log