La faille de divulgation d’informations, CVE-2025-61884, apparaît des semaines après des attaques Zero Day, soulevant des questions sur des problèmes de sécurité plus larges dans la plateforme ERP phare d’Oracle.
Oracle a publié sa deuxième mise à jour de sécurité d’urgence en moins de deux semaines pour sa suite E-Business (EBS), corrigeant une vulnérabilité de divulgation d’informations de haute gravité qui, selon les experts en sécurité, pourrait devenir la prochaine cible des groupes de ransomwares qui encerclent déjà les logiciels d’entreprise largement déployés.
La société a publié une alerte de sécurité le 11 octobre concernant CVE-2025-61884, une faille exploitable à distance dans le composant Runtime UI d’Oracle Configurator qui affecte les versions EBS 12.2.3 à 12.2.14. Notée 7,5 sur l’échelle de gravité CVSS, la vulnérabilité permet à des attaquants non authentifiés ayant accès au réseau de voler des données sensibles sans avoir besoin d’informations d’identification.
« Cette vulnérabilité est exploitable à distance sans authentification, c’est-à-dire qu’elle peut être exploitée sur un réseau sans avoir besoin d’un nom d’utilisateur et d’un mot de passe », a déclaré Oracle dans son avis. « Si elle est exploitée avec succès, cette vulnérabilité peut permettre l’accès à des ressources sensibles. »
Oracle n’a pas confirmé si CVE-2025-61884 est activement exploité dans la nature. Cependant, le moment choisi met les professionnels de la sécurité en état d’alerte. Le correctif est arrivé une semaine seulement après qu’Oracle a publié un correctif d’urgence pour CVE-2025-61882, une faille critique d’exécution de code à distance que le gang de ransomware Cl0p a exploité comme un jour zéro dans une campagne de vol de données massive qui a débuté en août.
« Compte tenu du ciblage historique et de l’activité récente du ransomware Cl0p, les acteurs malveillants sont susceptibles d’exprimer leur intérêt et de tenter une exploitation dans un avenir proche », a prévenu Arctic Wolf, une société d’opérations de cybersécurité, dans son analyse de CVE-2025-61884.
Pourquoi les systèmes ERP sont devenus des cibles privilégiées
Cet avertissement reflète un schéma plus large que les experts en sécurité surveillent de près. La succession rapide de vulnérabilités EBS critiques (deux correctifs d’urgence en deux semaines) signale un changement fondamental dans la manière dont les acteurs de la menace ciblent les entreprises.
« Les Zero Days consécutifs dans Oracle EBS mettent en évidence la manière dont les acteurs de la menace ciblent de plus en plus les applications d’entreprise à forte valeur ajoutée qui sous-tendent les flux de travail financiers et opérationnels », a déclaré Sakshi Grover, directeur de recherche senior pour les services de cybersécurité chez IDC Asie/Pacifique. « Ces systèmes sont profondément intégrés, personnalisés et difficiles à mettre à jour rapidement, ce qui en fait des cibles attractives à exploiter. »
Sunil Varkey, conseiller chez Beagle Security, affirme que l’angle mort historique du secteur de la sécurité autour des systèmes ERP est à l’origine de la crise actuelle. « Dans le passé, les RSSI considéraient les systèmes ERP comme le problème de quelqu’un d’autre, protégé par un périmètre, trop risqué à toucher et trop complexe à comprendre », a déclaré Varkey. « Les systèmes ERP ne sont plus isolés. Ils sont désormais connectés à tout : services cloud, portails de fournisseurs, plateformes de commerce électronique, capteurs IoT et composants Web. Cela a fait exploser leur surface d’attaque. »
La vulnérabilité affecte la même plage de versions que CVE-2025-61882, et les organisations exécutant des instances EBS exposées à Internet sont confrontées à un risque particulier. Les chercheurs en sécurité ont noté que les failles de divulgation d’informations, bien que moins graves que les vulnérabilités d’exécution de code à distance, peuvent fournir aux attaquants les données de reconnaissance nécessaires pour enchaîner plusieurs exploits – une technique que les auteurs de menaces sophistiquées ont démontrée à plusieurs reprises.
« Oracle recommande fortement aux clients d’appliquer les mises à jour ou les atténuations fournies par cette alerte de sécurité dès que possible », a souligné Rob Duhart, responsable de la sécurité d’Oracle, dans un autre article de blog.
Actions immédiates pour CVE-2025-61884
Oracle a fourni des correctifs pour CVE-2025-61884 pour toutes les versions concernées couvertes par le support Premier ou le support étendu. Cependant, les experts en sécurité ont averti que les correctifs à eux seuls pourraient ne pas suffire. Les enseignements des récentes attaques CVE-2025-61882 montrent que les organisations doivent rechercher des signes de compromission préalable, même après avoir appliqué des correctifs.
Dans une analyse technique détaillée de la campagne CVE-2025-61882, Google Threat Intelligence Group et Mandiant ont décrit des techniques de chasse spécifiques pour les environnements EBS. Les chercheurs ont découvert que les auteurs de menaces « stockent les charges utiles directement dans la base de données EBS » et ont recommandé que « les administrateurs interrogent immédiatement les tables XDO_TEMPLATES_B et XDO_LOBS pour identifier les modèles malveillants ».
L’équipe de Google a également mis l’accent sur les protections au niveau du réseau. « Les charges utiles Java observées nécessitent des connexions sortantes vers les serveurs C2 pour récupérer des implants de deuxième étape ou exfiltrer des données », ont écrit les chercheurs, recommandant aux organisations de « bloquer tout trafic sortant non essentiel des serveurs EBS vers Internet ».
La Cybersecurity and Infrastructure Security Agency (CISA) a déjà ajouté CVE-2025-61882 à son catalogue de vulnérabilités exploitées connues avec une date limite du 27 octobre pour les agences fédérales. Bien que CVE-2025-61884 n’ait pas encore été ajouté au catalogue, les organisations devraient traiter les deux vulnérabilités avec la même urgence, compte tenu des modèles de ciblage, ont suggéré les experts.
Repenser la stratégie de sécurité de l’ERP
Même si l’application immédiate de correctifs reste essentielle, les experts en sécurité affirment que les vulnérabilités consécutives d’Oracle signalent la nécessité de repenser fondamentalement la manière dont les organisations sécurisent les applications critiques.
« Au-delà des mesures correctives immédiates, les responsables de la sécurité devraient renforcer la visibilité sur les dépendances tierces, appliquer le moindre privilège dans les environnements ERP et investir dans l’analyse comportementale pour détecter les transactions anormales avant qu’elles n’entraînent une interruption de l’activité », a déclaré Grover. Selon l’enquête 2025 sur la sécurité en Asie/Pacifique d’IDC, citée par Grover, 26 % des entreprises mettent déjà en œuvre des stratégies de sécurité axées sur l’identité et alignées sur les applications métier.
Varkey a souligné que les systèmes ERP doivent être élevés au statut d’actif critique. « Les systèmes ERP doivent être traités comme des actifs critiques avec isolation, journalisation, surveillance, moindres privilèges, segmentation et application de la confiance zéro », a-t-il déclaré. « Les équipes de sécurité devraient faire partie de l’équipe de gouvernance principale et définir les mandats de sécurité. »
