🗓️ Contexte

Source : The Register, publié le 2 juillet 2026. Les chercheurs de Defused ont observé la première exploitation connue de CVE-2026-46817 le 27 juin 2026, soit six semaines après la publication du correctif par Oracle dans sa mise à jour critique de mai.

🎯 Vulnérabilité ciblée

  • CVE-2026-46817 — score CVSS : 9.8
  • Composant affecté : Oracle Payments File Transmission dans Oracle E-Business Suite (EBS) versions 12.2.3 à 12.2.15
  • Impact : permet à un attaquant non authentifié de lire des fichiers arbitraires sur les serveurs vulnérables

🔍 Observations techniques

Les honeypots de Defused ont enregistré six tentatives d’exploitation provenant d’une source unique, utilisant ce qui semble être un exploit fonctionnel. Les requêtes visaient à récupérer des fichiers sensibles du système cible. Le comportement observé ne correspond pas à un scan indiscriminé, mais plutôt à un test ou une validation de technique.

L’exploitation ayant débuté avant toute publication de code PoC public, les chercheurs estiment que l’attaquant a soit rétro-ingénié le patch Oracle, soit obtenu un exploit privé.

🌐 Exposition

La Shadowserver Foundation recense environ 950 instances EBS exposées sur internet, majoritairement aux États-Unis, sans indication sur leur statut de mise à jour.

🔗 Contexte élargi

  • Ce mois-ci, des attaquants ont également exploité un zero-day critique dans PeopleSoft avant déploiement généralisé des correctifs ; le groupe ShinyHunters a revendiqué la compromission de plus de 100 organisations avec vol de données RH et paie.
  • L’année précédente, le groupe Clop avait mené une campagne prolongée contre des clients Oracle EBS via des serveurs exposés sur internet.

📰 Nature de l’article

Article de presse spécialisée relatant une exploitation active en cours, visant à informer la communauté CTI sur une menace émergente ciblant les logiciels ERP Oracle.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • ShinyHunters (cybercriminal) — orkl.eu · Malpedia
  • Clop (cybercriminal) —

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1083 — File and Directory Discovery (Discovery)
  • T1005 — Data from Local System (Collection)
  • T1587.004 — Develop Capabilities: Exploits (Resource Development)

IOC

  • CVEs : CVE-2026-46817NVD · CIRCL

🟡 Indice de vérification factuelle : 36/100 (moyenne)

  • ⬜ theregister.com — source non référencée (0pts)
  • ✅ 2387 chars — texte partiel (10pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ✅ acteur(s) identifié(s) : ShinyHunters, Clop (5pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.theregister.com/cyber-crime/2026/07/02/oracle-e-business-suite-was-under-attack-via-critical-flaw-before-the-public-exploit-code-was-even-released/5265710