Des tentatives d'exploitation ciblant une vulnérabilité de gravité critique d'Oracle E-Business Suite ont été observées juste après la publication d'un code de preuve de concept (PoC).

L'une des principales gammes de produits Oracle, la E-Business Suite est un ensemble d'applications d'entreprise qui aident les organisations à automatiser des processus tels que la gestion de la chaîne d'approvisionnement (SCM), la planification des ressources d'entreprise (ERP) et la gestion de la relation client (CRM).

Répertoriée sous le nom de CVE-2022-21587 (score CVSS de 9,8), la faille exploitée a été identifiée dans le Web Applications Desktop Integrator du produit d'entreprise d'Oracle et a été corrigée dans le cadre de la mise à jour de correctifs critiques d'Oracle d'octobre 2022.

Des attaquants non authentifiés disposant d'un accès réseau via HTTP peuvent facilement exploiter la faille pour compromettre le Web Applications Desktop Integrator et en prendre le contrôle.

L'Agence de cybersécurité et de sécurité des infrastructures (CISA) a ajouté CVE-2022-21587 à son catalogue de vulnérabilités connues et exploitées (KEV), exhortant les clients d'Oracle à appliquer les correctifs disponibles dès que possible.

Les premières tentatives d'exploitation, cependant, ont été observées le 21 janvier.

Le PoC provient de la société de cybersécurité Viettel Cyber Security, basée au Vietnam, qui a publié le 16 janvier une analyse détaillée de la vulnérabilité et des lieux d'exploitation potentiels.

Selon les données de Shadowserver, le nombre de tentatives d'exploitation observées est actuellement faible. Cependant, les acteurs de la menace sont connus pour cibler les produits Oracle non corrigés, et le nombre d'attaques pourrait augmenter prochainement.

La CISA a également signalé l'exploitation observée de CVE-2023-22952, une faille d'exécution de code à distance de haute gravité dans SugarCRM.

Ayant un impact sur les EmailTemplates, la vulnérabilité est décrite comme un défaut de validation des entrées manquantes qui permet à un attaquant d'injecter du code PHP personnalisé à l'aide de requêtes piratées. Les correctifs pour cette vulnérabilité ont été publiés le 11 janvier 2023.

En janvier, juste après le début de l'exploitation, Censys a signalé avoir vu des centaines de serveurs SugarCRM être piratés à l'aide de CVE-2023-22952.