🔥 Oracle sous le feu : le zero-day CVE-2025-61882 exploité par Cl0p

Une tempête vient de secouer l’univers de la cybersécurité : Oracle E-Business Suite — largement utilisé dans de nombreuses grandes entreprises pour la gestion intégrée — a été victime d’une faille zero-day critique identifiée CVE-2025-61882. Le plus grave ? Le groupe de ransomware Cl0p semble l’utiliser activement pour infiltrer, voler des données stratégiques, et faire chanter ses victimes.

La faille : un RCE sans authentification

Cette vulnérabilité se situe dans le composant Oracle Concurrent Processing, plus précisément liée à l’intégration BI Publisher dans les versions EBS 12.2.3 à 12.2.14.

Ce qui rend l’attaque particulièrement dangereuse :

• Aucune authentification requise : l’attaquant peut lancer des requêtes HTTP spécialement conçues sans disposer d’un compte ou d’un accès légitime.
• Exécution de code à distance (RCE) : une fois la faille exploitée, un attaquant peut injecter et exécuter du code arbitraire sur le serveur cible. The Hacker News
• Chaîne complexe d’exploitation : les analyses montrent que l’exploit n’est pas « simple » — il combine plusieurs techniques (SSRF, injection XSLT, etc.) pour forcer le serveur à charger et exécuter un payload malveillant. 

En clair : si votre instance Oracle EBS est exposée sur Internet et non corrigée, c’est une porte ouverte à un hacker — sans mot de passe nécessaire.

Cl0p, roi du chantage — et probablement plus

Le groupe Cl0p (ou Cl0p / Graceful Spider) n’en est pas à son coup d’essai. Il a déjà multiplié les attaques via des vulnérabilités zero-days ou non corrigées, notamment contre des plateformes de transfert de fichiers (MOVEit, Accellion, GoAnywhere, etc.). 

Selon plusieurs analyses :

• L’exploitation a probablement commencé dès le 9 août 2025. Security Affairs
• Le groupe a envoyé des emails d’extorsion à plusieurs entreprises, prétendant avoir déjà volé des données sensibles depuis leurs infrastructures Oracle. 
• Certains outils d’attaque ont été publiés sur des canaux Telegram, notamment deux scripts Python (server.py et exp.py) qui facilitent l’exécution automatisée de l’exploit. 
• On observe aussi une concurrence ou une collaboration indistincte entre Cl0p et d’autres collectifs comme Scattered LAPSUS$ ou Shiny Hunters dans la diffusion d’outils, voire de moqueries ou de menaces croisées. 

Bref : ce n’est pas juste une attaque de plus, mais un assaut concerté, organisé, avec diffusion d’outils — potentiellement avec des acteurs multiples, qui vont profiter de la faille avant même que tout le monde soit patché.

Oracle réagit… tardivement mais sérieusement

Face à l’ampleur de l’attaque, Oracle a dû agir en urgence. Le 4 octobre 2025, l’éditeur a publié un patch de sécurité hors cycle pour corriger la faille CVE-2025-61882. Rapid7

Quelques détails importants :

• Le patch exige que le Critical Patch Update (CPU) d’octobre 2023 soit déjà appliqué comme prérequis. Oracle
• Oracle a publié des indicateurs de compromission (IoC) : des adresses IP, des fichiers suspects, des commandes observées, etc., pour aider les équipes de sécurité à détecter si leur infrastructure a déjà été compromise.
• Plusieurs gouvernements et centres de sécurité (NCSC au Royaume-Uni, CISA aux États-Unis) ont émis des alertes et demandé une mise à jour urgente. CVE-2025-61882 a été ajoutée à la liste des vulnérabilités déjà exploitées (Known Exploited Vulnerabilities) aux États-Unis.
• L’éditeur a signalé que cette faille était « exploitée en masse » et que plus de 1 000 instances EBS exposées publiquement pourraient être concernées — majoritairement aux États-Unis selon certaines analyses.

Que faire, de toute urgence ?

Si votre entreprise ou organisation utilise Oracle EBS, voici le plan d’action recommandé :

1. Appliquer immédiatement le patch Oracle pour CVE-2025-61882 — si ce n’est pas déjà fait.
   (N’oubliez pas de vérifier que le CPU d’octobre 2023 est pré-installé, sinon le patch peut ne pas s’appliquer correctement)
2. Patch des vulnérabilités du CPU d’août 2025 (et des autres CVE déjà corrigées) — Cl0p aurait pu combiner plusieurs failles déjà connues avec le zero-day pour maximiser son impact. Tenable®
3. Analyser les indicateurs de compromission (IoC) fournis par Oracle et d’autres chercheurs : IP, scripts suspects, commandes observées, etc. Oracle
4. Faire une chasse aux intrusions (threat hunting) dans vos logs, processus externes, connexions sortantes inhabituelles — peut-être que l’attaque est déjà là.
5. Restreindre les fonctions XSL / Java dans le contexte Oracle, si possible, ou au moins surveiller toute activité liée à ces outils (XSLT / JavaScript embarqué).
6. Limiter les connexions sortantes du serveur EBS vers des destinations inconnues ou externes — souvent les attaquants créent une “backdoor” pour exfiltrer des données.
7. Informer vos partenaires, clients et autorités si vous constatez une compromission — le vol de données peut engager la responsabilité, selon les régulations.

En conclusion : mieux vaut être tard que jamais

Oui, un patch est enfin disponible — c’est la bonne nouvelle. Mais dans le monde de la cybersécurité, corriger après coup n’est jamais assez : les attaques ont commencé depuis des semaines, les outils ont déjà été divulgués, et de nombreuses instances restent non protégées.

Ce que cette affaire révèle, c’est que la course aux zero-days continue : les attaquants peuvent exploiter des chaînes complexes et coordonner des campagnes d’extorsion massives. Pour les organisations, la marge d’erreur est très mince.

Donc, la consigne est simple, piquante mais impérative : patch. Maintenant. Et surtout, vérifiez si vous n’avez pas déjà été touché.

Partager cet article : Twitter LinkedIn WhatsApp

🖋️ Publié sur SecuSlice.com