Oracle : une faille zero-day est exploitée par le ransomware Cl0p pour voler des données !
Une faille de sécurité zero-day a été découverte dans la solution Oracle E-Business Suite : CVE-2025-61882. Elle a été exploitée par le groupe de cybercriminels Cl0p pour voler des données sur les serveurs de plusieurs organisations. Voici ce que l'on sait.
Oracle E-Business Suite et la CVE-2025-61882
La faille de sécurité, associée à la référence CVE-2025-61882 et à un score CVSS de 9.8 sur 10, se situe dans le composant Oracle Concurrent Processing d'E-Business Suite. En l'exploitant, un attaquant distant non authentifié peut exécuter du code à distance (RCE) et ainsi compromettre l'instance ciblée.
"Cette vulnérabilité est exploitable à distance sans authentification, c'est-à-dire qu'elle peut être exploitée sur un réseau sans avoir besoin d'un nom d'utilisateur et d'un mot de passe.", précise le bulletin de sécurité d'Oracle.
Oracle a confirmé que les versions 12.2.3 à 12.2.14 d'Oracle E-Business Suite sont affectées et a publié une mise à jour d'urgence pour corriger cette vulnérabilité. Mais, avant d'appliquer ce correctif, vous devez d'abord installer le "Critical Patch Update" d'octobre 2023, ce qui devrait être déjà fait si les mises à jour sont effectuées régulièrement.
Le groupe Clop à l'origine d'attaques
Il y a urgence quant à l'installation de ce patch : la faille de sécurité CVE-2025-61882 est déjà exploitée par le gang de ransomware Cl0p. Mandiant, la division de sécurité de Google Cloud, a confirmé que Cl0p a exploité cette faille pour voler d'importantes quantités de données auprès de plusieurs entreprises en août 2025. Le vol de données est accompagné par un e-mail d'extorsion : la victime doit payer pour éviter que ses données ne soient divulguées.
"Clop a exploité de multiples vulnérabilités dans Oracle EBS qui leur ont permis de voler de grandes quantités de données à plusieurs victimes en août 2025.", a déclaré Charles Carmakal, CTO de Mandiant. En effet, il serait question de vulnérabilités patchées en juillet 2025, en plus de la CVE-2025-61882, également impliquée dans ces attaques.
Mandiant estime que cette vulnérabilité exploitée par Cl0p sera probablement exploitée par d'autres groupes de cybercriminels. Il est essentiel de patcher son instance, et surtout, de regarder s'il n'est pas déjà trop tard. Des indicateurs de compromission (IoC) ont été publiés par Oracle, et notamment deux adresses IP associées à ces activités malveillantes : 200[.]107[.]207[.]26 et 185[.]181[.]60[.]11.
Depuis plusieurs années, la stratégie du groupe Cl0p est basée sur l'exploitation de failles zero-day : GoAnywhere MFT, MOVEit Transfer, Cleo, etc... Mais, cette fois-ci, c'est bien une zero-day dans la solution d'Oracle qui a été exploitée.
