Selon Arctic Wolf, Oracle a indiqué que des clients E‑Business Suite reçoivent des emails d’extorsion après exploitation de neuf vulnérabilités corrigées dans le Critical Patch Update de juillet 2025.

Les vulnérabilités concernent plusieurs produits et composants d’Oracle E‑Business Suite, notamment Oracle Lease and Finance Management, Mobile Field Service, Universal Work Queue, ainsi que les composants Applications Framework, CRM Technical Foundation, iStore et Universal Work Queue. Neuf CVE sont listées: CVE-2025-30743, CVE-2025-30744, CVE-2025-50105, CVE-2025-50071, CVE-2025-30746, CVE-2025-30745, CVE-2025-50107, CVE-2025-30739, CVE-2025-50090.

Trois de ces failles sont exploitées à distance sans authentification, constituant des vecteurs critiques d’attaque. Les correctifs sont fournis dans EBS 12.2.13 et impliquent la mise à jour de la couche applicative EBS ainsi que des composants sous‑jacents Oracle Database et Oracle Fusion Middleware 🛠️.

Arctic Wolf a observé des acteurs de menace se réclamant de l’affiliation Cl0p envoyer des emails d’extorsion ✉️ depuis des comptes compromis, visant des dirigeants. Les acteurs abusent des vulnérabilités pour obtenir un accès non autorisé avant de conduire la campagne d’extorsion.

  • Type d’attaque: Extorsion via accès non autorisé et abus de comptes email compromis
  • Vecteurs: Exploitation de failles EBS, dont RCE/accès à distance sans authentification
  • Produits/versions: Oracle E‑Business Suite (12.2.13 corrige) + dépendances Oracle Database et Fusion Middleware

IOCs et TTPs

  • IOCs: Aucun indicateur technique fourni dans l’extrait
  • TTPs: Exploitation de vulnérabilités EBS; accès non autorisé; envoi d’emails d’extorsion depuis comptes compromis; ciblage des exécutifs 🎯

Il s’agit d’une analyse de menace visant à signaler l’exploitation active de vulnérabilités EBS et l’existence de correctifs publiés.

🧠 TTPs et IOCs détectés

TTPs

Exploitation de vulnérabilités EBS; accès non autorisé; envoi d’emails d’extorsion depuis comptes compromis; ciblage des exécutifs

IOCs

Aucun indicateur technique fourni dans l’extrait

🔗 Source originale : https://arcticwolf.com/resources/blog/alleged-cl0p-extortion-emails-linked-july-2025-oracle-e-business-suite-vulnerabilities/

🖴 Archive : https://web.archive.org/web/20251005205537/https://arcticwolf.com/resources/blog/alleged-cl0p-extortion-emails-linked-july-2025-oracle-e-business-suite-vulnerabilities/