ShinyHunters dans PeopleSoft : un ERP RH/Finance ouvert sans mot de passe

Le fait

D'après un rapport Mandiant du 11 juin 2026, la vulnérabilité CVE-2026-35273, une authentification manquante (CVSS 9.8) dans Oracle PeopleSoft Enterprise PeopleTools, a été exploitée comme zero-day avant l'alerte éditeur, avec une activité observée entre le 27 mai et le 9 juin. Mandiant attribue la campagne à UNC6240 (ShinyHunters), collectif d'extorsion connu pour le vol de données. CISA l'a ajoutée au KEV le 12 juin, avec une fenêtre de patch de 3 jours au titre de la nouvelle directive BOD 26-04.

Pourquoi ça compte

PeopleSoft, c'est la paie, les RH, la finance, les identités. Une fonction critique accessible sans authentification, exploitable à distance jusqu'à la RCE, sur ce type d'ERP : c'est exactement le carburant d'une campagne d'extorsion. ShinyHunters ne chiffre pas, il vole et fait chanter : le profil de risque est la fuite de données massives, pas l'indisponibilité.

Ce que Kreomnis en pense

1. Sortez les ERP de la zone Internet. Une interface PeopleTools joignable depuis l'extérieur est une cible de premier rang. Reverse proxy authentifié, VPN, segmentation : le strict minimum.
2. BOD 26-04 change le tempo. La nouvelle directive CISA impose 3 jours sur les failles à haut risque. Vos SLA de patch internes doivent suivre ce rythme, au moins sur les actifs critiques exposés.
3. Présumez la compromission si l'instance était exposée fin mai : la fenêtre zero-day couvre près de deux semaines. Chasse aux IoC ShinyHunters et revue des exfiltrations.

Mécanique, versions et remédiation : notre fiche CVE-2026-35273.

Source : Rapid7 : Active Exploitation of Oracle PeopleSoft Zero-Day, rapport Mandiant, Oracle Security Alert, CISA KEV.