Une campagne de cyberattaques récente a été identifiée, ciblant les applications Oracle E-Business Suite (EBS) via une nouvelle vulnérabilité de type zero-day, répertoriée sous le code CVE-2025-61882. Cette campagne se concentre principalement sur l’exfiltration de données. Il existe un niveau de confiance modéré quant à l’implication du groupe connu sous le nom de GRACEFUL SPIDER, bien que d’autres acteurs malveillants pourraient également exploiter cette vulnérabilité. La première attaque connue a été enregistrée le 9 août 2025, mais les enquêtes sont toujours en cours.
Suite à la divulgation d’une preuve de concept le 3 octobre 2025 et à la publication d’un correctif, il est très probable que des acteurs malveillants tentent d’exploiter davantage cette vulnérabilité. Le 29 septembre 2025, GRACEFUL SPIDER a affirmé avoir accédé aux données provenant des applications Oracle EBS de diverses organisations. De plus, un message sur un canal Telegram a suggéré une collaboration entre différents groupes de cybercriminels, avec un membre partageant un exploit pour Oracle EBS et critiquant les méthodes de GRACEFUL SPIDER.
La divulgation par Oracle de la vulnérabilité CVE-2025-61882 le 4 octobre 2025 a mis en lumière le risque d’exécution de code à distance sans authentification. Bien qu’Oracle n’ait pas confirmé d’exploitation active, ils ont fourni des indicateurs de compromission, laissant entrevoir une exploitation potentielle dans la nature. La vulnérabilité implique une requête HTTP POST vers un servlet spécifique, initiant un contournement de l’authentification, parfois lié à des comptes administratifs, conduisant à l’exécution de code à distance.
