Une campagne de cyberattaques sophistiquée menée par le groupe de rançongiciels CL0P cible les environnements Oracle E-Business Suite (EBS) via une vulnérabilité de type “zero-day”, affectant de nombreuses organisations à l’échelle mondiale. L’attaque, qui a débuté au début du mois d’août 2025, exploite la vulnérabilité critique CVE-2025-61882, restée sans correctif pendant plusieurs mois. Fin septembre, les attaquants ont lancé une vaste campagne d’extorsion, envoyant des courriels aux dirigeants d’entreprises en affirmant avoir volé des données sensibles de leurs systèmes Oracle EBS. Ces courriels, expédiés depuis des comptes tiers compromis, contenaient des listes de fichiers légitimes provenant des environnements des victimes. Les messages d’extorsion étaient liés à des adresses de contact associées au site de fuite de données de CL0P depuis mai 2025.
Oracle a d’abord signalé l’exploitation de la vulnérabilité début octobre et a recommandé d’appliquer les mises à jour critiques de juillet 2025. Toutefois, des correctifs d’urgence ont été publiés le 4 octobre 2025, visant spécifiquement la vulnérabilité “zero-day” après la découverte de son exploitation pendant plusieurs semaines. La vulnérabilité implique plusieurs vecteurs d’attaque, permettant l’exécution de code à distance sur les serveurs Oracle EBS. L’analyse de Google a identifié des chaînes d’exploitation distinctes ciblant différents composants servlet au sein de l’infrastructure EBS.
En août, les attaquants ont commencé à exploiter le composant SyncServlet, initiant les attaques par des requêtes POST. Ils ont utilisé la fonctionnalité XDO Template Manager pour créer des modèles malveillants dans la base de données EBS, déclenchant des charges utiles via la fonctionnalité de prévisualisation des modèles. Les attaquants ont déployé un cadre d’implantation Java sophistiqué en plusieurs étapes, comprenant un téléchargeur communiquant avec des serveurs de commande et de contrôle.
Après une exploitation réussie, les acteurs menaçants ont effectué des reconnaissances et établi des shells inversés vers une adresse IP spécifique. Le schéma d’attaque reflète les campagnes précédentes de CL0P, suggérant une continuité dans leurs méthodes. Les experts en sécurité recommandent d’appliquer les correctifs d’urgence d’Oracle, de rechercher des modèles de base de données malveillants, de restreindre l’accès Internet sortant depuis les serveurs EBS et de surveiller les requêtes suspectes. Les organisations devraient interroger des tables de base de données spécifiques pour identifier des modèles suspects, car les charges utiles sont stockées directement dans l’infrastructure EBS. Les indicateurs de compromission incluent plusieurs adresses IP observées lors des tentatives d’exploitation.
