Oracle confronté à une faille zero-day déjà exploitée à grande échelle
Image d'illustration. OracleOracle / PR-ADN
Oracle alerte sur une faille critique dans PeopleSoft, déjà exploitée par ShinyHunters. Plus de 100 organisations sont dans le viseur.
En bref
- Oracle signale une faille zero-day critique dans PeopleSoft, exploitable à distance sans authentification et sans patch disponible pour l’instant.
- La vulnérabilité a déjà été exploitée dans une campagne attribuée à ShinyHunters, touchant plus de 100 organisations selon Mandiant, avec des fuites de données confirmées.
- Les établissements d’enseignement supérieur sont particulièrement visés, dans un schéma récurrent d’attaques ciblant des logiciels largement utilisés.
Le problème est simple, et franchement pas rassurant. Oracle a reconnu une faille critique dans PeopleSoft alors qu’aucun correctif n’était encore disponible au moment de son alerte. Or cette brèche est déjà exploitée dans la vraie vie par ShinyHunters, un groupe bien connu du cybercrime.
Le plus gênant, c’est qu’il n’y a toujours pas de patch
Chez Oracle, l’avis de sécurité publié jeudi explique que la faille peut être exploitée via internet, sans aucune authentification. Pas besoin de mot de passe. Pas besoin d’accès préalable. Pour les clients, ça change tout.
On parle ici d’un zero-day, donc d’une vulnérabilité utilisée avant qu’un correctif soit prêt. Oracle demande à ses clients d’appliquer des mesures d’atténuation pour bloquer l’exploitation. C’est mieux que rien, mais quand un bug critique touche un outil RH et paie utilisé par de grandes entreprises, vous voyez le niveau de tension.
Plus de 100 organisations dans la ligne de mire
La veille, ShinyHunters avait expliqué à TechCrunch avoir compromis plus de 100 organisations utilisant des serveurs PeopleSoft. Le lendemain, Mandiant, la branche sécurité de Google, a confirmé dans un billet que cette campagne repose bien sur la même faille.
Et Mandiant ne parle pas dans le vide. L’entreprise dit avoir prévenu plus de 100 organisations dans le monde, surtout aux États-Unis, pour tenter de restreindre l’accès à des systèmes potentiellement exposés. Certaines ont réussi à bloquer l’activité ou à corriger le tir. D’autres ont bien été compromises, avec des données ensuite publiées sur le site de fuite de ShinyHunters. Résultat, on n’est plus dans l’hypothèse.
Les campus paient encore l’addition
Un détail ressort tout de suite. D’après Mandiant, environ deux tiers des organisations visées appartiennent à l’enseignement supérieur. Ça colle avec ce que revendiquait déjà ShinyHunters.
Le groupe a aussi affirmé que plusieurs victimes étaient des universités et des colleges. Un de ses membres a partagé un message présenté comme envoyé à une école piratée, avec une liste de données volées assez lourde, noms complets, adresses, téléphones, e-mails, dates de naissance, genre, origine ethnique, statut d’inscription, moyenne, spécialité et identifiants étudiants sur l’ensemble des campus. Bref, le genre de fuite qui fait très mal.
ShinyHunters rejoue une méthode désormais bien rodée
Ce qui frappe, c’est la répétition du schéma. PeopleSoft devient la nouvelle porte d’entrée d’une série de campagnes où ShinyHunters repère un logiciel partagé par beaucoup d’organisations, cherche les instances vulnérables, vole des données puis menace de les publier contre rançon.
L’an dernier, le groupe s’était déjà attaqué à des entreprises utilisant Salesforce, Gainsight ou encore des outils fournis par Instructure. Plus tôt cette année, Instructure avait reconnu avoir payé les pirates après deux intrusions. Dans la foulée, des pages de connexion d’écoles utilisant le portail Canvas avaient été défigurées. La recette ne change pas. Et quand elle marche encore, c’est là que ça pique.