Oracle publie une alerte concernant une faille zéro jour critique dans ses produits PeopleSoft Suite, référencée sous le code CVE-2026-35273. Cette vulnérabilité permet à un attaquant d’exécuter du code à distance sans authentification. Des assaillants l’utilisent déjà activement dans des opérations de vol de données attribuées au groupe ShinyHunter.
Cette faille, localisée dans la suite logicielle Oracle PeopleSoft PeopleTools, obtient un score CVSS de 9,8. Dans un communiqué récent, Oracle précise que cette vulnérabilité touche les logiciels de sa gamme PeopleSoft Enterprise et qu’elle n’exige aucune authentification pour être exploitée. Le succès d’une attaque peut conduire à une prise de contrôle totale du système affecté.
L’éditeur confirme que les versions 8.61 et 8.62 de PeopleSoft Enterprise PeopleTools sont concernées. Des mesures d’urgence ont été publiées en attendant la distribution d’un correctif complet.
Une exploitation en cours par des cybercriminels
La divulgation de cette faille fait suite à un rapport qui révélait que le gang d’extorsion ShinyHunters exploitait une vulnérabilité zéro jour dans PeopleSoft pour pénétrer des systèmes et dérober des informations.
Charles Carmakal, directeur technique de Mandiant, la branche cybersécurité de Google Cloud, a confirmé sur LinkedIn que la CVE-2026-35273 était effectivement exploitée et que des mitigations étaient désormais disponibles.
Les attaques signalées début de semaine laissaient des notes de rançon au nom de ShinyHunters. Ce groupe est réputé pour ses intrusions massives dans des plateformes d’entreprise, des applications CRM ou des services cloud SaaS qui hébergent d’importants volumes de données. Après chaque compromission, les pirates exfiltrent les bases de données puis exigent une rançon pour ne pas les publier.
Au cours de la dernière année, ShinyHunters a été associé à plusieurs campagnes importantes qui visaient des sociétés comme SnowFlake ou Salesforce, ainsi que des fournisseurs d’intégration tiers.
Les pirates ont expliqué utiliser une chaîne de vulnérabilités, combinant des failles anciennes et cette zéro jour, pour compromettre les instances PeopleSoft. Ils affirment avoir volé des données sur 300 serveurs appartenant à plus d’une centaine d’organisations.
Un chercheur en cybersécurité a identifié plusieurs répertoires en ligne exposés qui contenaient des outils liés à ces attaques. Il a partagé la liste suivante d’adresses IP utilisées par les assaillants.
142.11.200[.]186
142.11.200[.]187
142.11.200[.]188
142.11.200[.]189
142.11.200[.]190
108.174.202[.]99
176.120.22[.]24
Oracle recommande aux administrateurs de systèmes PeopleSoft d’inspecter leurs journaux d’activité pour détecter toute connexion provenant de ces adresses IP et déterminer si leur infrastructure a été ciblée.