Pour gagner en réactivité face à l’explosion de l’exploitation des failles et éviter de surcharger les RSSI avec ses patchs trimestriels, Oracle est passé depuis le mois dernier à un rythme de publication mensuel. Mise en ligne ce 16 juin, la dernière salve de correctifs CSPU (critical security patch update de l’éditeur n’en reste pas moins particulièrement garnie. 245 problèmes ont ainsi été corrigés, affectant de nombreux logiciels d’Oracle incluant Enterprise Manager, JD Edwards, Fusion Middleware, MySQL, et Peoplesoft avec une faille dont l'exploitation a été revendiquée par le cybergang ShinyHunters.
Bien que tous ces correctifs soient classés comme hautement prioritaires, certains sont quand même plus préoccupants. « Le patch PeopleSoft pour la faille CVE-2026-35273 se démarque car il corrige une vulnérabilité critique d’exécution de code à distance dans qui est largement exploitée dans la nature. Ce correctif a été publié sous la forme d’une alerte de sécurité hors cycle et nécessite une correction immédiate », explique Flavio Villanustre, RSSI chez LexisNexis Risk Solutions. « Mais juste derrière, on trouve les correctifs destinés à Oracle Fusion, qui a reçu une centaine de correctifs, dont plus de la moitié sont classés comme des exploits à distance sans authentification. Ceux-ci affectent des composants tels que WebLogic Server. » Certains de ces correctifs concernaient les produits Fusion Middleware, dont un certain nombre arriveront en fin de support de la part d’Oracle d’ici la fin de l’année. Flavio Villanustre n’a toutefois pas jugé particulièrement préoccupantes les nombreuses failles de sécurité identifiées dans ces produits. Et de souligner : « Oracle propose une extension de support pour [Fusion Middleware] jusqu’en décembre 2027 à ceux qui sont prêts à payer davantage plutôt que de procéder à une mise à niveau ; le support sera donc maintenu pendant encore 18 mois à compter d’aujourd’hui. »
Des failles préoccupantes sans scores de gravité élevée
Sanchit Vir Gogia, analyste en chef chez Greyhound Research, a fait savoir que l’importance de l’annonce d’Oracle ne réside pas dans le nombre très élevé de correctifs, mais dans leur portée. « Sur ces 245 correctifs, 106 concernent Fusion Middleware et 53 d’entre eux sont accessibles à distance sans authentification. Les failles les plus graves ne sont toutefois pas celles qui présentent les scores de gravité les plus élevés. « Ce sont celles qui combinent l’accessibilité à distance, l’absence d’authentification et un emplacement privilégié dans des couches auxquelles d’autres systèmes sont conçus pour faire confiance », a-t-il expliqué. Par exemple WebLogic Server comporte deux failles de ce type présentant la gravité maximale, sur un produit que les attaquants analysent et ciblent depuis des années. D’autres comme Coherence, Unified Directory et WebCenter ont également une portée étendue ce qui signifie qu’une seule compromission peut affecter des produits bien au-delà de celui qui a été initialement piraté. »
Pour Chris Doyle, responsable de la sécurité et de la conformité chez JupiterOne, les vulnérabilités qui l’inquiétaient le plus étaient celles pouvant être exploitées sans voler des identifiants. « Les failles les plus marquantes sont les failles CVSS 10.0 présentes dans Coherence et WebLogic Server, exploitables à distance sans aucune authentification requise. Coherence est au cœur de nombreuses piles d’applications d’entreprise ; sa compromission ne se limite donc pas à un seul système, mais constitue un point d’accès à tout ce qui en dépend », explique Chris Doyle. Et d’ajouter : « WebLogic est depuis des années la cible de ransomwares et de campagnes de minage de cryptomonnaies, et l’accès non authentifié à la console est précisément le point d’ancrage que ces campagnes recherchent. » Chris Doyle a également fait part de ses inquiétudes concernant les failles de PeopleSoft. « La plus urgente est laCVE-2026-35273 dans PeopleTools, dont Oracle a confirmé qu’elle était déjà activement exploitée avant même la publication de ce correctif. Or, PeopleSoft gère les systèmes RH, financiers et étudiants que les opérateurs de ransomware ciblent spécifiquement. « Il s’agit de systèmes étroitement couplés qui nécessitent des mises à jour coordonnées sur plusieurs couches, avec des tests de régression à chaque étape. Il n’existe souvent aucun contrôle compensatoire simple permettant de gagner du temps ; il ne reste plus qu’à appliquer les correctifs au fur et à mesure », prévient Chris Doyle.
Des failles Fusion Middleware aussi inquiétantes
Les failles liées à Fusion Middleware, au nombre de 30, ont également posé problème, compte tenu de la manière dont la plupart des services informatiques d’entreprise gèrent l’application des correctifs pour les produits en fin de vie. « Les entreprises qui utilisent encore ce produit tentent désormais d’appliquer des correctifs à un produit fortement ciblé tout en planifiant simultanément une migration qu’elles ne peuvent pas reporter. Ces environnements sont fortement personnalisés, ce qui ralentit l’application des correctifs, et c’est précisément pendant ce délai entre la mise à disposition du correctif et son application que les attaquants passent à l’action », a indique Chris Doyle. « Une fois le support terminé, les nouvelles vulnérabilités risquent de ne plus faire l’objet d’aucun correctif. Compte tenu du volume que nous observons rien que pour ce cycle, je ne parierais pas sur le fait que la situation va se calmer avant la date butoir de fin de vie. » Et Sanchit Vir Gogia, de compléter : « L’absence d’exploitation confirmée ailleurs n’est pas rassurante. Dès qu’un avis est publié, les pirates le lisent, contournent le correctif, analysent les environnements d’entreprise exposés et devancent les clients qui attendent encore une fenêtre de maintenance. WebLogic n’est pas devenu dangereux du jour au lendemain. C’est une cible de longue date, et l’une de ses failles antérieures figure déjà dans le catalogue gouvernemental des failles connues exploitées. Attendre la preuve publique d’une exploitation est la stratégie de correction la plus coûteuse qui soit. Lorsque cette preuve arrive, le travail en coulisses est généralement déjà terminé. »