Vulnérabilité CVE-2025-61882 : Une vulnérabilité zero-day critique d’Oracle E-Business Suite exploitée dans des attaques de vol de données par Cl0p
Un autre jour apporte un autre problème de sécurité. À la suite de CVE-2025-41244, une faille récemment militarisée touchant VMware Tools et VMware Aria Operations, les chercheurs ont découvert une nouvelle faille de type zero-day. La nouvelle vulnérabilité critique de la suite Oracle E-Business suivie sous le nom de CVE-2025-61882 aurait été exploitée lors de la dernière campagne de vol de données liée à Cl0p.
En 2025, les groupes de ransomwares dépendent de plus en plus de l’exploitation des vulnérabilités comme point d’entrée principal dans les systèmes d’entreprise. Bien que l’ingénierie sociale et les informations d’identification volées restent des vecteurs d’attaque significatifs, les exploits de vulnérabilité sont devenus l’une des méthodes les plus courantes pour l’accès initial. Les acteurs de la menace montrent une préférence claire pour les failles à faible friction et à fort impact, notamment les RCE non authentifiées et les vulnérabilités avec des exploits de preuve de concept (PoC) disponibles publiquement.
Avec plus de 37 500 nouvelles vulnérabilités enregistrées par le NIST cette année, la course est lancée pour les équipes de cybersécurité. Bien que l’exploitation des vulnérabilités reste le principal vecteur d’attaque, et que les menaces cybernétiques deviennent de plus en plus sophistiquées, une détection proactive est essentielle pour réduire la surface d’attaque et atténuer les risques.
Inscrivez-vous maintenant sur la plateforme SOC Prime pour accéder à une vaste bibliothèque de règles de détection enrichies en contexte et d’informations sur les menaces alimentées par l’IA, vous aidant à garder une longueur d’avance sur les attaques exploitant des vulnérabilités émergentes. Toutes les règles sont compatibles avec plusieurs formats SIEM, EDR et Data Lake et sont mappées au cadre MITRE ATT&CK® . De plus, chaque règle est enrichie de CTI liens, de chronologies d’attaque, de configurations d’audit, de recommandations de triage et d’autres contextes pertinents. Appuyez sur le bouton Explore Detections pour voir l’ensemble de la pile de détection pour une défense proactive contre les vulnérabilités critiques filtrées par le tag « CVE ».
Les ingénieurs en sécurité peuvent également tirer parti de Uncoder AI, un IDE et copilote pour l’ingénierie de détection. Avec Uncoder, les défenseurs peuvent instantanément convertir des IOCs en requêtes de chasse sur mesure, créer du code de détection à partir de rapports de menaces brutes, générer des diagrammes de flux d’attaque, activer la prédiction de tags ATT&CK, utiliser l’optimisation de requêtes pilotée par l’IA et traduire le contenu de détection sur de multiples plateformes.
Analyse du CVE-2025-61882
Oracle a récemment déployé une mise à jour d’urgence pour corriger une vulnérabilité critique dans sa suite E-Business, qui a été activement exploitée lors des récentes attaques de vol de données de rançongiciels Cl0p. La faille, suivie sous le nom de data theft attacks. The flaw, tracked as CVE-2025-61882 avec un score CVSS de 9,8, permet à des attaquants distants non authentifiés de compromettre le composant de traitement concurrent Oracle via HTTP et de prendre le contrôle total des systèmes affectés. Les versions impactées incluent de 12.2.3 à 12.2.14.
L’avis d’Oracle confirme que la vulnérabilité peut être exploitée à distance sans informations d’identification, entraînant des RCEpotentiels. Le correctif traite également des vecteurs d’exploitation supplémentaires découverts lors de l’enquête interne de l’entreprise. La correction nécessite l’installation préalable de la mise à jour critique d’octobre 2023. Avec un PoC public disponible et des preuves d’exploitation active, le fournisseur exhorte les administrateurs à appliquer le correctif immédiatement comme étape de mitigation faisable du CVE-2025-61882.
Mandiant, propriété de Google, a rapporté que des adversaires mènent une campagne massive par email en utilisant des centaines de comptes compromis. Le CTO de Mandiant Charles Carmakal a confirmé que Cl0p a tiré parti de cette vulnérabilité et d’autres vulnérabilités de l’Oracle EBS, certaines d’entre elles ayant été corrigées à la mi-été 2025, pour voler de grands volumes de données à plusieurs victimes en août 2025. Il a souligné que, compte tenu de l’ampleur de l’exploitation et de la probabilité de poursuite des attaques par d’autres acteurs, les organisations devraient enquêter de manière proactive pour détecter tout signe de compromission, quel que soit le statut de correction.
La hausse des attaques de type zero-day sur les produits grand public, combinée à leur exploitabilité croissante, oblige les organisations à adopter des stratégies plus rapides et plus robustes pour garder une longueur d’avance sur les attaquants. SOC Prime propose une suite de produits complète qui combine l’expertise en cybersécurité de pointe et l’IA, est construite sur des principes de confiance zéro, et est soutenue par des technologies automatisées et des renseignements sur les menaces en temps réel, permettant aux équipes de sécurité de surmonter les menaces cybernétiques modernes, quelle que soit leur sophistication.