Alerte Cyber : Oracle lâche 245 correctifs, une faille critique PeopleSoft déjà exploitée!!

-

Salut à tous les administrateurs sys/dba, RSSI et professionnels de la cybersécurité,

Si vous pensiez passer un week-end tranquille, il va falloir revoir vos plans. Ce 19 juin 2026, l'actualité cyber est brûlante : Oracle vient de publier sa dernière salve de correctifs mensuels (CSPU - Critical Security Patch Update).

Pour rappel, l'éditeur a abandonné son rythme trimestriel pour passer au mensuel afin d'éviter l'effet "raz-de-marée" pour les équipes SecOps. Pourtant, la mise à jour du 16 juin reste colossale : 245 vulnérabilités sont corrigées, et l'une d'entre elles nécessite un déploiement en urgence absolue.

Le carton rouge : La CVE-2026-35273 dans PeopleSoft

C'est LA faille majeure de ce cycle. Elle touche le composant PeopleTools d'Oracle PeopleSoft, un système ultra-critique qui gère les ressources humaines, la finance et les données internes des entreprises.

  • Type : Exécution de code à distance (RCE).

  • Statut : Activement exploitée dans la nature avant même la publication du patch. Le cybergang ShinyHunters a d'ailleurs officiellement revendiqué des attaques exploitant cette brèche.

  • Le problème : Ces systèmes sont interconnectés et complexes. Appliquer le correctif demande des tests de régression lourds à chaque couche, et il n'existe aucun contournement (workaround) temporaire efficace. Il faut patcher, et vite.

Fusion Middleware et WebLogic sous le feu des projecteurs

Le cœur de métier d'Oracle n'est pas épargné. La suite Fusion Middleware écope à elle seule de 106 correctifs, dont 53 sont exploitables à distance et sans aucune authentification.

┌────────────────────────────────────────────────────────┐
│           ANATOMIE DES FAILLES CRITIQUES ORACLE        │
├────────────────────────────────────────────────────────┤
│                                                        │
│  ┌───────────────────────┐      ┌───────────────────┐  │
│  │   WEBLOGIC SERVER     │      │  ORACLE COHERENCE │  │
│  │   Score CVSS : 10.0   │      │ Score CVSS : 10.0 │  │
│  └──────────┬────────────┘      └─────────┬─────────┘  │
│             │                             │            │
│             └──────────────┬──────────────┘            │
│                            ▼                           │
│     [ Vecteur : Réseau / Sans Authentification ]       │
│                            │                           │
│                            ▼                           │
│       • Compromission totale de la pile applicative    │
│       • Ancrage idéal pour Ransomwares & Cryptominers  │
│                                                        │
└────────────────────────────────────────────────────────┘

Les experts de JupiterOne et Greyhound Research tirent la sonnette d'alarme sur les failles CVSS 10.0 touchant WebLogic Server et Coherence :

  1. WebLogic est la cible historique des campagnes de serveurs de minage et de ransomwares. L'accès non authentifié à la console d'administration est un cadeau de Noël avant l'heure pour les attaquants.

  2. Coherence agit comme une couche centrale pour de nombreuses applications d'entreprise. Une seule compromission à ce niveau offre une portée étendue pour infecter l'intégralité du SI par rebond.

Le piège de la fin de support (EoX)

Pour ajouter une dose de stress, une trentaine de failles concernent des produits de la gamme Fusion Middleware qui arrivent en fin de support standard d'ici décembre 2026.

Les entreprises se retrouvent prises au piège : elles doivent patcher en urgence des environnements lourdement personnalisés tout en planifiant des migrations complexes.

L'option payante : Oracle propose une extension de support jusqu'en décembre 2027 (soit 18 mois de sursis à compter d'aujourd'hui), mais le ticket d'entrée financier est particulièrement salé.

L'avis du blog :

Attendre d'avoir la preuve publique qu'une faille est exploitée dans votre secteur pour planifier une maintenance est la pire stratégie de remédiation possible. Dès qu'Oracle publie son bulletin, les attaquants font du reverse-engineering sur le patch, créent un exploit et scannent le web à la recherche de serveurs WebLogic ou PeopleSoft exposés pour devancer les fenêtres de maintenance des entreprises.

La bascule d'Oracle vers un rythme mensuel est une bonne chose pour lisser la charge, mais ce mois-ci, la pilule est amère. Priorité absolue ce week-end : isolez vos consoles WebLogic d'Internet si ce n'est pas déjà fait, et lancez la recette du patch PeopleSoft. Bon courage aux équipes d'astreinte !

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Règlement d'un montant de 1,375 milliard de dollars de Google pour le Texas!!

-
Image
Salut à tous, Aujourd'hui, on se retrouve pour parler de Google qui a   récemment accepté de verser 1,375 milliard de dollars à l'État du Texas pour régler deux poursuites l'accusant de suivre les données personnelles des utilisateurs, y compris leur localisation, leurs recherches en mode incognito, ainsi que leurs données vocales et faciales, sans leur consentement. Ces poursuites ont été initiées par le procureur général du Texas, Ken Paxton, en 2022. Ce règlement est le plus important jamais obtenu par un procureur général contre Google en matière de lois sur la vie privée au niveau national. Paxton a déclaré : « Au Texas, Big Tech n'est pas au-dessus des lois. » Un porte-parole de Google a indiqué que l'entreprise réglait ces poursuites sans admission de culpabilité et sans avoir à modifier ses produits. José Castañeda a précisé que ce règlement concernait des réclamations anciennes, dont beaucoup avaient déjà été résolues ailleurs, et a souligné que Google cont...
Lire la suite

Clap de fin sur le rachat Activision Blizzard par Microsoft: la FTC perd en appel!!

-
Image
Salut à tous, Aujourd'hui, on se retrouve pour la fin du feuilleton du rachat d'Activision Blizzard King par Microsoft touche à sa fin. La Federal Trade Commission (FTC), l'autorité américaine de la concurrence, a perdu son appel visant à bloquer cette acquisition de 69 milliards de dollars. Cette décision judiciaire lève le dernier obstacle juridique aux États-Unis, rendant l'opération désormais officielle sur ce marché clé. Une victoire décisive pour Microsoft Après plusieurs mois de batailles judiciaires, Microsoft a triomphé. La cour d'appel américaine a confirmé la décision de première instance, rejetant les arguments de la FTC qui tentait d'obtenir une injonction pour suspendre le rachat. Ce revers pour le régulateur souligne son incapacité à freiner la consolidation dans le secteur technologique et du jeu vidéo. Les préoccupations de la FTC La FTC s'était opposée à cette acquisition en évoquant des risques pour la concurrence, craignant que Microsoft ...
Lire la suite

Investissement d'un montant d'1 milliard d'euros dans un data center européen par Tik Tok!!

-
Image
Salut à tous, Aujourd'hui, on se retrouve pour parler de l'annonce de TikTok à propos d'un investissement d'un milliard d'euros pour la construction d'un nouveau data center à Kouvola, dans le sud-est de la Finlande.  La semaine précédente, l'Union européenne avait infligé une amende de 530 millions d'euros à TikTok, accusé de transférer les données des utilisateurs européens vers la Chine sans garanties suffisantes contre l'accès des autorités chinoises. En réponse, TikTok a annoncé son intention de faire appel de cette décision. L'initiative en Finlande s'inscrit dans le cadre du Projet Clover, un programme plus vaste de 12 milliards d'euros lancé par TikTok pour renforcer la protection des données de ses 175 millions d'utilisateurs européens. L'entreprise considère cette infrastructure comme une « étape significative » dans son engagement envers la sécurité des données sur le continent. Le futur data center permettra de stocker...
Lire la suite