Campagne Cl0p : Oracle corrige finalement une vulnérabilité inédite

[Mise à jour, le 6 octobre 2025] C’est finalement une vulnérabilité inédite qui semble avoir été exploitée par Cl0p dans sa campagne contre les instances Oracle E-Business Suite. L’éditeur a développé un correctif en urgence. Cette vulnérabilité est référencée CVE-2025-61882.

Dans son bulletin d’alerte, Oracle mentionne un démonstrateur d’exploitation de la vulnérabilité. C’est celui qui a été partagé, durant le week-end, par les cybercriminels de chez ShinyHunters sur l’une de leurs chaînes Telegram – où ils se présentent désormais comme les « Scattered Lapsus$ Shiny Hunters » (SLSH). Tout en exprimant une forte colère à l’encontre de Cl0p.

[Mise à jour, le 3 octobre 2025] Dans un bref billet de blog, Rob Duhart, RSSI d’Oracle Security, indique que l’éditeur « a été informé que certains clients Oracle E-Business Suite (EBS) ont reçu des courriels de chantage ». L’enquête, toujours en cours, a déjà « révélé l’utilisation potentielle de vulnérabilités précédemment identifiées et corrigées dans la mise à jour critique de juillet 2025 ». Et de renvoyer vers le bulletin d’information correspondant en enjoignant les clients d’Oracle à appliquer les correctifs disponibles. 

Rob Duhart ne précise pas quelles vulnérabilités sont concernées. Mais en juillet dernier, Oracle a corrigé 3 vulnérabilités critiques exploitables sans trop de sophistication ni d’authentification, les CVE-2025-30745, CVE-2025-30746, et CVE-2025-50107.

[Article original, le 2 octobre 2025] C’est autour du 29 septembre que les premières missives numériques ont commencé à être reçues. Dans celles-ci, un acteur malveillant se réclame de l’enseigne de cybercriminels bien connue et redoutée Cl0p.

Ces missives ont été adressées aux dirigeants de nombreuses organisations à travers le monde. Leur auteur affirme avoir compromis leurs applications Oracle E-Business Suite et en avoir volé des données sensibles.

C’est Austin Larsen, analyste principal de menaces au sein du Google Threat Intelligence Group (GTIG), qui l’indique. Et de préciser que si les allégations de violation de données n’ont (pour l’heure) pas été confirmées, au moins deux éléments confortent les affirmations de l’acteur malveillant : « cette campagne utilise des centaines de comptes email compromis, suivant une technique précédemment utilisée par FIN11 », souvent associé à Clop ; et les adresses de contact mentionnées dans les notes d’extorsion sont les mêmes que celles mentionnées par Cl0p sur son site vitrine.

Cette enseigne de cyber-extorsion n’a pas fait parler d’elle depuis de longs mois. Sa dernière importante campagne remonte à l’automne 2024. Elle s’appuyait sur l’exploitation en masse de la vulnérabilité CVE-2024-50623 qui affectait les instances Cleo Harmony, Cleo VLTrader et Cleo LexiCom jusqu’à la version 5.8.0.23.

En 2023, le gang Cl0p a fait des milliers de victimes en exploitant une vulnérabilité inédite dans le produit MoveIt Transfer de Progress Software.

Auparavant, Cl0p avait également exploité une vulnérabilité de type 0day dans le logiciel GoAnywhere MFT de Fortra, ce qui avait entraîné des retombées massives. Des attaquants ont également exploité une vulnérabilité critique de Citrix ShareFile, référencée CVE-2023-24489 l’année dernière, deux mois après que Citrix a révélé la faille et publié un correctif.

En 2023, Cl0p a montré qu’il avait développé des capacités sans pareil d’industrialisation de ses attaques contre des systèmes abritant des données potentiellement sensibles, affectés par des vulnérabilités inédites. La surprise résidait surtout dans le fait qu’il n’en profite pas plus. Il pourrait bien avoir marqué son grand retour aux affaires.