🗓️ Contexte
Source : The Register, publié le 2 juillet 2026. Les chercheurs de Defused ont observé la première exploitation connue de CVE-2026-46817 le 27 juin 2026, soit six semaines après la publication du correctif par Oracle dans sa mise à jour critique de mai.
🎯 Vulnérabilité ciblée
- CVE-2026-46817 — score CVSS : 9.8
- Composant affecté : Oracle Payments File Transmission dans Oracle E-Business Suite (EBS) versions 12.2.3 à 12.2.15
- Impact : permet à un attaquant non authentifié de lire des fichiers arbitraires sur les serveurs vulnérables
🔍 Observations techniques
Les honeypots de Defused ont enregistré six tentatives d’exploitation provenant d’une source unique, utilisant ce qui semble être un exploit fonctionnel. Les requêtes visaient à récupérer des fichiers sensibles du système cible. Le comportement observé ne correspond pas à un scan indiscriminé, mais plutôt à un test ou une validation de technique.
L’exploitation ayant débuté avant toute publication de code PoC public, les chercheurs estiment que l’attaquant a soit rétro-ingénié le patch Oracle, soit obtenu un exploit privé.
🌐 Exposition
La Shadowserver Foundation recense environ 950 instances EBS exposées sur internet, majoritairement aux États-Unis, sans indication sur leur statut de mise à jour.
🔗 Contexte élargi
- Ce mois-ci, des attaquants ont également exploité un zero-day critique dans PeopleSoft avant déploiement généralisé des correctifs ; le groupe ShinyHunters a revendiqué la compromission de plus de 100 organisations avec vol de données RH et paie.
- L’année précédente, le groupe Clop avait mené une campagne prolongée contre des clients Oracle EBS via des serveurs exposés sur internet.
📰 Nature de l’article
Article de presse spécialisée relatant une exploitation active en cours, visant à informer la communauté CTI sur une menace émergente ciblant les logiciels ERP Oracle.
🧠 TTPs et IOCs détectés
Acteurs de menace
TTP
- T1190 — Exploit Public-Facing Application (Initial Access)
- T1083 — File and Directory Discovery (Discovery)
- T1005 — Data from Local System (Collection)
- T1587.004 — Develop Capabilities: Exploits (Resource Development)
IOC
🟡 Indice de vérification factuelle : 36/100 (moyenne)
- ⬜ theregister.com — source non référencée (0pts)
- ✅ 2387 chars — texte partiel (10pts)
- ✅ 1 IOC(s) (6pts)
- ⬜ pas d’IOC vérifié (0pts)
- ✅ 4 TTPs MITRE identifiées (15pts)
- ⬜ date RSS ou approximée (0pts)
- ✅ acteur(s) identifié(s) : ShinyHunters, Clop (5pts)
- ⬜ 0/1 CVE(s) confirmée(s) (0pts)
🔗 Source originale : https://www.theregister.com/cyber-crime/2026/07/02/oracle-e-business-suite-was-under-attack-via-critical-flaw-before-the-public-exploit-code-was-even-released/5265710