Les informations sur la vulnérabilité exposée par les portails EBS se propagent, augmentant la probabilité de nouvelles attaques, avertissent les experts.
C’est la mauvaise nouvelle que de nombreux clients d’Oracle E-Business Suite (EBS) ont redouté: les rapports d’attaques de ransomwares ciblant le logiciel se sont avérés connectés à une grave vulnérabilité zéro-jour qui nécessite des correctifs immédiats.
Les premières indications selon lesquelles quelque chose pourraient être de mal émergé la semaine dernière de Halcyon, le groupe de renseignement sur les menaces de Google (GTIG) et Mandiant, qui a émis des alertes que l’un des groupes d’extorsion les plus actifs du monde, CL0P, a probablement été à l’origine des demandes de courrier électronique récentes envoyées aux clients d’Oracle exécutant des portails EBS EBS OE EBS.
Bien qu’il y ait eu une certaine incertitude initiale sur la portée, la gravité et l’attribution des attaques, ces rapports ont révélé des détails inquiétants, y compris des demandes de rançon inhabituellement importantes jusqu’à 50 millions de dollars soutenus par la preuve de compromis tels que les captures d’écran et les arbres.
« Nous sommes l’équipe CL0P. Si vous n’avez pas entendu parler de nous, vous pouvez Google à propos de nous sur Internet », a commencé l’une des notes de rançon, recommandée par un site d’information.
La note a continué à faire la demande habituelle de paiement, soutenue par des menaces pour exposer les données volées si la rançon n’a pas été payée.
L’inquiétude était de savoir comment les assaillants compromettaient les victimes. En 2025, Oracle a corrigé plusieurs problèmes de sécurité EBS importants, notamment CVE-2025-30727 affectant le module Isurvey, et CVE-2025-21541 affectant les écrans et subventions d’administration, aucun connu pour avoir été exploité.
Un message de Charles Carmakal de Mandiant fait toujours référence à plusieurs vulnérabilités, mais l’accent est maintenant passé à un nouveau défaut d’exécution de code distant (RCE), CVE-2025-61882, comme principal couple. Le fait qu’Oracle ait émis un patch d’urgence pour cela pendant le week-end semble confirmer cela.
L’accès initial par CL0P date d’août, ce qui signifie que les attaquants ont eu beaucoup de temps pour voler de grandes quantités de données. Des courriels d’extorsion ont été envoyés aux victimes à partir du 29 septembre, mais n’ont peut-être pas encore atteint toutes les victimes, a averti Carmakal.
« Compte tenu de la large exploitation de 0 jours de masse qui s’est déjà produite (et de l’exploitation des jours qui se poursuivra probablement par d’autres acteurs), quelle que soit le moment où le patch est appliqué, les organisations devraient examiner si elles étaient déjà compromises », a-t-il déclaré.
Alerte rouge: patch maintenant
Évalué un «critique» 9.8 sur CVSS, CVE-2025-61882 est une vulnérabilité dans le composant d’intégration EBS BI Publisher de la suite d’Oracle E-Business affectant les versions 12.2.3 à 12.2.14, qui est exploitante à distance sans authentification.
Les clients devraient appliquer le dernier correctif après avoir appliqué la mise à jour du correctif critique à partir d’octobre 2023 s’ils ne l’avaient pas déjà fait. Toutes les versions du logiciel mises à jour avant le 4 octobre doivent être envisagées à risque.
« Oracle recommande fortement aux clients d’appliquer les mises à jour fournies par cette alerte de sécurité dès que possible », a averti la société.
Oracle a également publié une liste d’indicateurs de compromis (CIO), y compris les adresses IP, les commandes observées et les signatures de logiciels malveillants, pour aider à la détection.
«Il est probable que presque personne ne corrige le week-end. Nous nous réveillons à une vulnérabilité critique avec le code d’exploitation public et les systèmes non corrigés du monde entier», a déclaré Jake Knott, chercheur principal en sécurité de la société de test de sécurité continue, Watchtowr.
« Nous nous attendons pleinement à voir une exploitation de masse et aveugle de plusieurs groupes en quelques jours. Si vous exécutez Oracle EBS, c’est votre alerte rouge. Patch immédiatement, chasser agressivement et resserrer vos commandes – rapidement. »
Selon ZBYNěk Sopuch, CTO du fournisseur de sécurité des données, Safeta, les entreprises devraient également noter l’évolution du comportement cyber-criminel signalé par les récentes attaques de ransomware.
« Les systèmes de choix ciblés pour les voleurs comprennent l’ERP, la finance, les RH et les points d’entrée typiques sont via des informations d’identification administratives et des connecteurs tiers, tels que les VPN, le middleware et les comptes de service API, qui ont tendance à avoir des privilèges ouverts », a déclaré Sopuch.
Il a recommandé que les entreprises isolent autant que possible les applications critiques, tout en faisant des protections telles que la norme d’authentification multi-facteurs (MFA) pour les connexions de l’administration et les points d’intégration ou d’accès à l’API.
« Inversement, donnez des comptes de service et d’intégration un accès minimum ou des autorisations simples adaptées à l’accès et à faire tourner régulièrement les clés », a-t-il déclaré.
Les vulnérabilités zéro-jour semblent particulièrement favorisées par CL0P, l’attaque de 2023 contre les clients de transfert de fichiers Moveit exploitant CVE-2023-34362 un exemple de haut niveau. D’autres attaques avec la même approche comprenaient ceux contre l’accélération en 2020 et Solarwinds en 2021.
La leçon est que les organisations ne peuvent détecter les incursions que si elles surveillent en permanence tous les points de risque dans la surface d’attaque, tels que les points d’accès externes et les connexions, a déclaré Sopuch.
