Oracle a averti ses clients ce week-end d’une vulnérabilité critique dans la suite Oracle E-Business, une plateforme de gestion d’entreprise largement répandue. Cette faille, évaluée à 9,8 sur 10 en termes de gravité, peut être exploitée à distance sans qu’un nom d’utilisateur ou un mot de passe ne soit requis. Les utilisateurs sont invités à installer les correctifs de la mise à jour d’octobre 2023 avant d’appliquer le nouveau correctif publié samedi. Des indicateurs de compromission ont été fournis pour aider à détecter et contenir les potentielles violations.
Le FBI ainsi que les agences de cybersécurité du Royaume-Uni et de Singapour ont émis des avertissements similaires, soulignant l’urgence de corriger cette vulnérabilité. La Cybersecurity and Infrastructure Security Agency des États-Unis a ajouté ce bug à son catalogue de vulnérabilités exploitées et a exigé que toutes les agences civiles fédérales le corrigent d’ici le 28 octobre.
Le groupe cybercriminel Clop est associé à une campagne récente visant à extorquer des dirigeants d’entreprise en menaçant de divulguer des informations sensibles prétendument volées via la suite Oracle E-Business. Clop aurait exploité plusieurs vulnérabilités, y compris celles corrigées dans la mise à jour de juillet 2025 ainsi que la faille récemment corrigée. Les experts en cybersécurité confirment que le code d’exploitation de cette faille est désormais public, ce qui accentue le risque pour les entreprises si elles ne prennent pas de mesures immédiates.
