Oracle E‑Business Suite: chaîne RCE pré‑authentifiée CVE‑2025‑61882 détaillée

Source: watchTowr Labs — Les chercheurs publient une analyse technique de la chaîne d’exploitation derrière CVE‑2025‑61882, une RCE pré‑authentifiée visant Oracle E‑Business Suite (EBS), après l’alerte officielle d’Oracle confirmant une exploitation active et l’impact sur les versions 12.2.3 à 12.2.14.

— Contexte et impact

• Oracle a diffusé une alerte indiquant une vulnérabilité exploitable à distance sans authentification pouvant conduire à une exécution de code.
• watchTowr Labs a obtenu un PoC et a reconstitué la chaîne d’attaque, composée d’« au moins cinq » failles orchestrées, démontrant une maîtrise approfondie d’Oracle EBS et un large périmètre d’impact.

— Chaîne d’exploitation (vue d’ensemble)

1. SSRF pré‑auth via le servlet UiServlet de Configurator: un paramètre XML (return_url) est abusé pour forcer des requêtes HTTP sortantes contrôlées par l’attaquant.
2. Injection CRLF: permet d’injecter des en‑têtes arbitraires et de transformer la requête (p. ex. GET → POST) au sein de l’SSRF.
3. Réutilisation de connexion HTTP (keep‑alive): contrôle du cadrage des requêtes et enchaînement fiable d’appels supplémentaires sur la même connexion.
4. Bypass de filtre d’authentification par traversée de répertoires (p. ex. ../, ..;/) pour atteindre des ressources internes exposées par un service HTTP lié en local sur TCP/7201 (résolu via l’hôte interne « apps.example.com » présent dans /etc/hosts).
5. XSLT remote include → RCE: la page interne ieshostedsurvey.jsp construit une URL à partir de l’en‑tête Host et charge un XSL distant; le traitement XSLT (extensions Java) permet l’exécution de code.

— Produits/versions concernés

• Oracle E‑Business Suite 12.2.3 à 12.2.14 (confirmé par l’alerte Oracle).

— Artefacts techniques (IOCs/TTPs)

• Endpoints/chemins notables:
  • Externe: /OA_HTML/configurator/UiServlet (point d’entrée SSRF)
  • Interne: http://apps.example.com:7201/OA_HTML/help/../ieshostedsurvey.jsp (bypass filtre via traversal)
  • Ressource XSL chargée: /ieshostedsurvey.xsl (contrôlée via Host)
• Services/ports:
  • Service HTTP lié à l’IP privée sur TCP/7201 (EBS interne)
• Techniques (TTPs):
  • Server-Side Request Forgery (SSRF)
  • Injection CRLF (injection d’en‑têtes, framing)
  • HTTP keep‑alive pour la réutilisation de connexion
  • Path traversal pour contourner les filtres
  • XSLT remote include avec extensions Java → RCE pré‑auth

— But de la publication

• Article de recherche détaillant et validant la chaîne d’exploitation (observée in the wild), avec des artefacts utiles à la détection et à la vérification d’exposition. 🔬

🧠 TTPs et IOCs détectés

TTP

Server-Side Request Forgery (SSRF), Injection CRLF, HTTP keep-alive, Path traversal, XSLT remote include with Java extensions leading to RCE pre-auth

IOC

Endpoints/paths: /OA_HTML/configurator/UiServlet, http://apps.example.com:7201/OA_HTML/help/../ieshostedsurvey.jsp, /ieshostedsurvey.xsl; Service/port: TCP/7201

---

🔗 Source originale : https://labs.watchtowr.com/well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882well-well-well-its-another-day-oracle-e-business-suite-pre-auth-rce-chain-cve-2025-61882/