Oracle a récemment corrigé une vulnérabilité critique dans sa suite E-Business, exploitée activement par le groupe Clop lors d’attaques de vol de données. Cette faille, identifiée sous le code CVE-2025-61882, permet l’exécution de code à distance sans authentification préalable. Elle est située dans le composant de traitement simultané, lié à BI Publisher, et affecte les versions 12.2.3 à 12.2.14 de la suite. Avec un score CVSS de 9,8, l’exploitation peut se faire via le réseau sans identifiants, permettant l’exécution de code arbitraire sur le serveur. Oracle a publié un correctif d’urgence, qui peut être installé après la mise à jour critique d’octobre 2023.
Le groupe Clop, déjà actif dans l’exploitation de cette faille, a volé d’importantes quantités de données d’entreprises en août. Mandiant a confirmé que Clop a combiné plusieurs vulnérabilités de l’Oracle EBS, incluant celles corrigées en juillet 2025, avec cette nouvelle faille, qui n’a été corrigée que ce week-end. Les entreprises touchées ont reçu des courriels de Clop exigeant un paiement pour éviter la publication des données volées.
L’exploitation de cette vulnérabilité a récemment été partagée sur Telegram par un groupe appelé Scattered Lapsus$ Hunters, composé de membres de Scattered Spider, Lapsus$, et ShinyHunters. Les fichiers divulgués contenaient des scripts Python permettant d’exploiter une installation vulnérable de la suite E-Business. Oracle a publié des indicateurs de compromission correspondant aux fichiers divulgués et exhorte ses clients à installer le correctif d’urgence au plus vite.
Ce même groupe de hackers a également été impliqué dans une menace d’extorsion à grande échelle visant Salesforce, sous le nom de Scattered Lapsus$ Hunters. Cela suggère la formation d’une nouvelle coalition de cybercriminels bien connus, responsables de multiples campagnes parallèles ciblant les logiciels d’entreprise.
