États-Unis : Des dizaines d'entreprises ont subi un vol de données en raison d'une faille de sécurité chez Oracle.

Les experts en cybersécurité de Google viennent de mettre en garde contre une campagne d'attaques de grande envergure menée par le groupe de pirates informatiques Clop, ciblant le logiciel Oracle E-Business Suite, et ayant entraîné le vol de données dans des dizaines d'organisations.

Ceci est perçu comme le premier signe que la campagne pourrait s'étendre à l'échelle mondiale.

Selon Google, le groupe Clop a exploité une grave faille de sécurité (zero-day) dans Oracle E-Business Suite, une plateforme logicielle d'entreprise utilisée pour gérer les données clients, les finances et les ressources humaines...

Oracle a été contraint de publier un correctif d'urgence pour stopper l'exploitation de la faille en cours.

Cette vulnérabilité, identifiée sous la référence CVE-2025-61882, présente un score de gravité de 9,8/10 et permet aux attaquants d'exécuter du code à distance sans authentification, simplement en y accédant via le protocole HTTP.

Une fois exploitée avec succès, cette faille permettait au pirate de prendre le contrôle total du traitement simultané du système Oracle E-Business Suite.

Selon les analystes, la campagne d'attaques a débuté le 10 juillet 2025, trois mois avant que les premières organisations ne détectent des signes d'intrusion début octobre.

Des dirigeants de plusieurs entreprises américaines ont ensuite reçu des courriels de rançon dans lesquels des pirates informatiques affirmaient être en possession de fichiers de données sensibles volés sur leurs systèmes.

Google a déclaré que le groupe Clop était le principal instigateur de la campagne, qui est à l'origine d'une série d'attaques de ransomware à grande échelle exploitant des vulnérabilités zero-day dans des outils de transfert de fichiers tels que MOVEit, Cleo et GoAnywhere.

Plusieurs indicateurs techniques suggèrent également un lien entre cette campagne et le groupe FIN11, un syndicat de cybercriminalité à motivation financière, ainsi que Scattered Lapsus$ Hunters.

Charles Carmakal, directeur technique de Mandiant-Google Cloud, a confirmé que les courriels de rançon avaient été envoyés depuis des centaines de comptes de messagerie compromis, dont au moins un compte précédemment associé à des activités liées à FIN11.

Dans un premier temps, Rob Duhart, responsable de la sécurité chez Oracle, a publié un avis affirmant que les vulnérabilités avaient été corrigées en juillet, laissant entendre que les attaques étaient terminées, mais cet avis a ensuite été supprimé.

Quelques jours plus tard, Oracle a été contraint d'admettre que des pirates informatiques exploitaient toujours son logiciel pour voler des données personnelles et des documents d'entreprise. Oracle a immédiatement publié un nouveau correctif d'urgence, confirmant l'existence de cette faille zero-day.

Google a publié des adresses électroniques, des indicateurs de compromission (IoC) et des conseils techniques pour aider les professionnels de la cybersécurité à vérifier si leurs systèmes Oracle ont été compromis.

Oracle assure que les données de paiement des clients n'ont pas été affectées, mais des experts avertissent que des données personnelles et des informations opérationnelles pourraient avoir fuité.

Les experts en sécurité recommandent aux entreprises de mettre à jour immédiatement le dernier correctif d'Oracle E-Business Suite ; de surveiller les journaux d'accès HTTP et les activités inhabituelles liées au traitement simultané ; et de procéder à un audit forensique en cas de suspicion d'intrusion.

Cette campagne d'attaques démontre une fois de plus le risque croissant que représentent les vulnérabilités zero-day dans les logiciels d'entreprise et souligne la nécessité d'une application rapide des correctifs et d'une surveillance proactive dans le contexte d'une cybercriminalité de plus en plus sophistiquée.

Source : https://www.vietnamplus.vn/my-hang-chuc-doanh-nghiep-bi-danh-cap-du-lieu-do-lo-hong-cua-oracle-post1069449.vnp