Oracle a récemment corrigé une vulnérabilité critique dans son E-Business Suite, exploitée activement par le groupe Clop lors d’attaques de vol de données. Cette faille, identifiée comme CVE-2025-61882, permet l’exécution de code à distance sans authentification préalable. Située dans le composant de traitement simultané, en lien avec BI Publisher, elle affecte les versions 12.2.3 à 12.2.14 de la suite. Avec un score CVSS de 9.8, l’exploitation peut se faire via le réseau sans identifiants, permettant l’exécution de code arbitraire sur le serveur. Oracle a publié un correctif d’urgence, installable après la mise à jour critique d’octobre 2023.
Le groupe Clop, déjà actif dans l’exploitation de cette faille, a volé d’importantes quantités de données d’entreprises en août. Mandiant a confirmé que Clop a combiné plusieurs vulnérabilités d’Oracle EBS, incluant celles corrigées en juillet 2025, avec cette nouvelle faille, seulement corrigée ce week-end. Les entreprises touchées ont reçu des courriels de Clop exigeant un paiement pour éviter la publication des données volées.
L’exploit de cette vulnérabilité a récemment été partagé sur Telegram par un groupe appelé Scattered Lapsus$ Hunters, composé de membres de Scattered Spider, Lapsus$, et ShinyHunters. Les fichiers divulgués contenaient des scripts Python permettant d’exploiter une installation vulnérable d’E-Business Suite. Oracle a publié des indicateurs de compromission correspondant aux fichiers divulgués et exhorte ses clients à installer le correctif d’urgence au plus vite.
Ce même groupe de hackers a également été impliqué dans une menace d’extorsion à grande échelle visant Salesforce, sous le nom de Scattered Lapsus$ Hunters. Cela suggère la formation d’une nouvelle coalition de cybercriminels bien connus, responsables de multiples campagnes parallèles ciblant les logiciels d’entreprise.
