Oracle corrige une vilaine faille critique déjà exploitée dans son E-Business Suite

Oracle a publié ce 4 octobre un important bulletin de sécurité. L’éditeur y annonce la correction en urgence d’une faille de sécurité critique déjà exploitée. Estampillée CVE-2025-61882, elle présente un score CVSS très élevé de 9,8 sur 10.

La vulnérabilité réside dans les versions 12.2.3 à 12.2.14 de l’E-Business Suite d’Oracle. Elle « est exploitable à distance sans authentification, c’est-à-dire qu’elle peut être exploitée sur un réseau sans avoir besoin d’un nom d’utilisateur et d’un mot de passe. Si elle est exploitée avec succès, cette vulnérabilité peut entraîner l’exécution de code à distance », explique la société dans son bulletin.

Il s’agit donc d’une faille de type 0-day et toutes les conditions sont réunies pour une exploitation massive. Le PoC (proof of concept) a été rendu public et des pirates sont déjà entrés en action. C’est en outre le pire des scénarios pour une faille : l’exploitation peut se faire à distance sans authentification, et peut donc être automatisée.

Il est donc recommandé d’installer aussi rapidement que possible la dernière version disponible pour E-Business Suite (EBS). Oracle précise dans son bulletin que la mise à jour critique d’octobre 2023 est un prérequis et doit avoir été installée d’abord.

Comme le signale notamment Bleeping Computer, les pirates sont à l’œuvre depuis le 29 septembre au moins. Depuis cette date, divers acteurs – dont Mandiant – ont remarqué une activité d’extorsion croissante, des dirigeants d’entreprises ayant reçu des e-mails qui leur indiquaient que leurs données avaient été volées dans leurs systèmes EBS. Ces courriers étaient revendiqués par le groupe Clop. Ce dernier existe depuis plusieurs années, malgré une baisse d’activité que nous relevions l’année dernière.

Selon les informations collectées par nos confrères, les attaques ont même commencé en août, via l’exploitation de multiples failles, dont plusieurs corrigées en juillet.