Selon Cyber Security News, Oracle a émis une alerte de sécurité d’urgence concernant la vulnérabilité critique CVE‑2025‑61882 (CVSS 9.8) dans E‑Business Suite, exploitée par le groupe Cl0p pour extorquer des clients n’ayant pas patché. La faille permet une exécution de code à distance sans authentification et affecte notamment l’intégration Business Intelligence Publisher sur les versions 12.2.3 à 12.2.14, avec des exploits publics déjà disponibles.
Des chercheurs de Tenable indiquent que la vulnérabilité du composant Oracle Concurrent Processing permet l’exécution de code arbitraire à distance sans identifiants, rendant la faille particulièrement attractive pour les cybercriminels. La combinaison de la large base installée d’Oracle EBS et de la sévérité de la vulnérabilité est présentée comme un facteur de risque majeur.
Campagne observée : plusieurs clients Oracle ont reçu des emails d’extorsion de Cl0p affirmant avoir compromis leurs environnements EBS et volé des données sensibles. Le groupe, aussi connu sous les noms TA505 et FIN11, a déjà exploité des 0‑day à fort impact dans Accellion, MOVEit Transfer, GoAnywhere et Cleo.
Points clés et risques 🚨:
- Produits affectés : Oracle E‑Business Suite (BI Publisher Integration) 12.2.3 à 12.2.14
- Impact : Exécution de code à distance (RCE) sans authentification
- Prérequis d’exploitation : Accès réseau à l’instance EBS, aucune authentification requise
- Score CVSS 3.1 : 9.8 (Critique)
- Contexte correctif : Oracle demande d’appliquer en prérequis le CPU d’octobre 2023, puis les patchs récents couvrant CVE‑2025‑61882 et neuf vulnérabilités supplémentaires du CPU de juillet 2025
Détection et remédiation mentionnées 🛠️: Oracle publie des indicateurs de compromission (IOCs) dans son avis. Il est indiqué que les équipes doivent prioriser le patching des systèmes EBS affectés, activer une surveillance réseau ciblant le composant BI Publisher Integration et revoir les journaux d’accès pour détecter d’éventuelles actions administratives non autorisées.
En somme, il s’agit d’une alerte de sécurité détaillant une exploitation active d’une 0‑day critique contre Oracle EBS et signalant la disponibilité des correctifs correspondants.
🔗 Source originale : https://cybersecuritynews.com/cl0p-ransomware-oracle-e-business-suite-0-day/