Le Washington Post a confirmé avoir été touché par une cyberattaque à grande échelle exploitant une vulnérabilité zero-day dans la suite E-Business Suite (EBS) d’Oracle. L’incident fait partie d’une vaste campagne attribuée au groupe de ransomware Cl0p, qui a ciblé des milliers d’organisations dans le monde entier en utilisant la même faille.
Dans un bref communiqué, la société a déclaré qu’elle avait été « touchée par la violation de la plate-forme Oracle E-Business Suite ». La publication n’a pas divulgué de détails sur le type de données touchées, mais les analystes en cybersécurité pensent que les attaquants pourraient avoir accédé à des informations financières et administratives sensibles.
La vulnérabilité à l’origine de l’incident, suivie sous le nom de CVE-2025-61882, permet l’exécution à distance non autorisée de code sur des serveurs Oracle EBS non corrigés. Selon les chercheurs en menaces de Mandiant et du Threat Intelligence Group de Google, Cl0p a commencé à exploiter la faille au début du mois d’août 2025, des mois avant qu’Oracle ne publie un correctif. L’exploit a été décrit comme simple à déployer et capable de donner aux attaquants un contrôle total sur les systèmes vulnérables sans avoir besoin d’informations d’identification valides.
Oracle a publié un correctif le 4 octobre après avoir observé des indications d’exploitation active plus tôt dans le mois. La société a averti que toute instance EBS accessible depuis Internet et exécutant des versions comprises entre 12.2.3 et 12.2.14 pourrait déjà avoir été compromise. Oracle a exhorté ses clients à appliquer le correctif immédiatement et à effectuer des examens médico-légaux pour identifier les activités non autorisées.
Cl0p, un groupe de ransomware connu pour le vol de données et l’extorsion à grande échelle, a répertorié plusieurs organisations touchées sur son site de fuite, notamment des institutions financières, des entreprises de logistique et des fournisseurs de services technologiques. Le groupe exige généralement un paiement en échange de la suppression d’informations volées ou du report de leur publication.
Bien que le Washington Post ait confirmé son inclusion parmi les parties concernées, le journal a déclaré qu’il continuait de fonctionner normalement. Les équipes de sécurité évaluent l’étendue de l’intrusion et ont mis en place des contrôles de surveillance et d’accès supplémentaires pour éviter toute nouvelle compromission.
Exploitation mondiale et préoccupations liées à la chaîne d’approvisionnement
Les experts en sécurité ont décrit l’attaque comme l’une des violations de logiciels d’entreprise les plus importantes de ces dernières années en raison de l’utilisation généralisée d’Oracle EBS dans la finance, la logistique et les ressources humaines des entreprises. La plateforme sert de système central pour le traitement des données commerciales sensibles, ce qui en fait une cible précieuse pour les acteurs de la menace motivés par l’argent.
La campagne Cl0p est un autre exemple de la manière dont les attaquants passent des violations d’une seule entreprise à l’exploitation des écosystèmes de fournisseurs. En compromettant une plate-forme d’entreprise couramment utilisée, un seul exploit peut fournir un accès à plusieurs clients à la fois. Cette stratégie reflète les opérations précédentes de Cl0p, telles que les attaques de transfert de fichiers MOVEit qui ont touché des agences gouvernementales et des entreprises mondiales en 2023.
Les chercheurs avertissent que les organisations qui s’appuient sur des logiciels d’entreprise tiers restent fortement exposées. L’intrusion initiale se produit souvent par le biais de vulnérabilités dans la couche applicative, contournant les protections standard des points de terminaison et rendant la détection difficile. Une fois à l’intérieur, les attaquants peuvent se déplacer latéralement à travers des systèmes de confiance, exfiltrer des données sensibles et lancer des campagnes d’extorsion.
Pour les entreprises touchées, les experts recommandent une combinaison de correctifs, de segmentation du réseau et de surveillance continue. Les systèmes exécutant des versions plus anciennes ou personnalisées d’Oracle EBS doivent être examinés en priorité, et toutes les connexions externes à la plate-forme doivent être limitées.
Bien que le correctif d’Oracle corrige la vulnérabilité, les enquêteurs pensent que certains systèmes compromis peuvent déjà contenir des portes dérobées persistantes installées avant la publication du correctif. Par conséquent, l’application de la mise à jour seule peut ne pas supprimer la menace. Il est conseillé aux équipes de sécurité d’effectuer une analyse médico-légale détaillée pour confirmer que les attaquants n’y ont plus accès.
L’implication du Washington Post dans la violation met en évidence l’impact croissant des cyberincidents de la chaîne d’approvisionnement qui touchent toutes les industries et tous les secteurs. Comme les attaquants exploitent des plateformes commerciales largement déployées, même les organisations disposant de solides défenses internes peuvent être affectées indirectement.
L’enquête sur les attaques d’Oracle EBS se poursuit, et Oracle et les agences fédérales de cybersécurité travaillent avec les entreprises touchées pour évaluer toute la portée de la campagne. Pour l’instant, l’incident nous rappelle une fois de plus que les vulnérabilités des logiciels d’entreprise peuvent rapidement devenir des points d’entrée pour des groupes mondiaux de ransomware disposant d’une portée et de ressources importantes.