Une nouvelle faille de sécurité critique dans la suite Oracle E-Business, identifiée sous le code CVE-2025-61882, vient d’être corrigée en urgence par l’éditeur après avoir été exploitée par le groupe de cybercriminels Cl0p dans des attaques de vol de données. Cette vulnérabilité zéro-day, avec un score CVSS de 9.8, permet une exécution de code à distance sans authentification via le protocole HTTP, rendant des milliers d’organisations vulnérables à des compromissions de grande ampleur. Si vous recherchez des informations sur la dernière faille Oracle EBS exploitée par Cl0p, voici ce qu’il faut savoir.
Une vulnérabilité critique dans Oracle E-Business Suite
Une faille permettant une prise de contrôle complète à distance
La vulnérabilité CVE-2025-61882 concerne le composant Oracle Concurrent Processing. Celui-ci peut être compromis par un attaquant externe non authentifié disposant d’un simple accès réseau via HTTP. Oracle a confirmé que cette faille permet une prise de contrôle totale à distance du système en exécutant du code malveillant.
Dans son bulletin de sécurité, Oracle précise que le correctif a été publié rapidement après la découverte d’éléments indiquant une exploitation active par des groupes cybercriminels. Le correctif, désormais disponible, couvre également d’autres vecteurs d’exploitation identifiés en cours d’analyse.
Un indice fort de l’implication de groupes cybercriminels connus
Les indicateurs de compromission (IoC) partagés dans le cadre de cette alerte comprennent des adresses IP suspectes et des éléments de scripts utilisés par les attaquants. Parmi eux, les fichiers nommés oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip et leur contenu laissent supposer une participation probable du groupe Scattered LAPSUS$ Hunters en collaboration avec Cl0p.
Les adresses IP 200.107.207[.]26 et 185.181.60[.]11 ont été identifiées avec des activités GET et POST inhabituelles. Un script shell permettant d’établir une connexion TCP sortante via Bash a également été signalé comme vecteur de contrôle à distance.
Une campagne de phishing ciblée menée par Cl0p
Une attaque par e-mail à grande échelle
Peu avant la publication du correctif pour CVE-2025-61882, des analystes de sécurité ont rapporté une campagne d’hameçonnage massive menée par Cl0p, ciblant les utilisateurs d’Oracle E-Business Suite. Mandiant (filiale de Google Cloud) a détecté des centaines de comptes compromis servant à diffuser des e-mails frauduleux à grande échelle.
Selon Charles Carmakal, CTO de Mandiant, cette offensive orchestrée en août 2025 a permis aux attaquants de voler d’importants volumes de données, en exploitant plusieurs failles, dont certaines déjà corrigées dans la mise à jour d’Oracle de juillet 2025, ainsi que CVE-2025-61882, corrigée plus récemment.
Des compromissions passées toujours à craindre
Alors même que le correctif est désormais disponible, les spécialistes recommandent aux entreprises utilisant Oracle E-Business Suite de vérifier si elles ont déjà été compromises, indépendamment de l’application du correctif. Les attaques en “n-day” (vulnérabilités corrigées mais encore exploitables sur des systèmes non mis à jour) risquent de se poursuivre.
Ce type d’incident souligne l’importance de développer ses compétences en sécurité offensive avec notre livre pour hacker qui aide à apprendre à hacker de manière légale et éthique, et à comprendre les modes opératoires des attaquants pour mieux s’en protéger.
Recommandations pour les entreprises utilisant Oracle EBS
Mettre à jour immédiatement les systèmes affectés
Toutes les organisations utilisant la suite Oracle EBS doivent appliquer sans délai les correctifs de sécurité publiés. Le fait que Cl0p ait exploité la faille avant même sa divulgation publique montre la dangerosité de cette vulnérabilité et le niveau de sophistication des groupes de ransomware modernes.
Rechercher des traces de compromission et renforcer la détection
Au-delà du correctif, une investigation poussée des logs, de l’activité réseau et des éventuelles connexions sortantes non autorisées est indispensable. Les équipes de cybersécurité doivent adapter leurs règles de détection pour repérer les comportements associés aux attaques Cl0p et aux outils identifiés.
CyberCare accompagne les entreprises dans l’analyse de vulnérabilités critiques comme CVE-2025-61882 et propose des services de cybersécurité managés incluant la détection, la réponse aux incidents et la gestion des correctifs.
