Harvard University разследва потенциално изтичане на данни, след като изнудваческата група Clop публикува името на университета на своя сайт за изтичане на данни и твърди, че проникването е резултат от неотдавна разкрита уязвимост от типа „нулев ден“ в сървърите на Oracle E-Business Suite.

Според говорител на информационните технологии в Харвард, засегнатият инцидент е свързан с този широкоразпространен проблем в Oracle и не е специфичен само за университета. В изявлението се посочва, че след получаване на информацията от Oracle, университетът е приложил наличния пач за отстраняване на уязвимостта и продължава да наблюдава системите си. Към момента от университетската ИТ служба нямат доказателства за компрометиране на други системи, а засегнатите страни са ограничени до „малък административен отдел“.

Clop публикува предупреждение, че ще разгласи данните на Харвард, ако не бъде изплатен откуп. Това се появява на фона на по-широка кампания, в която множество организации са получили имейли от името на Clop, твърдящи, че чувствителни данни са били откраднати от техните Oracle E-Business Suite инсталации и че те ще бъдат публикувани при неплащане.

Някои детайли, свързани с проблема:

• Oracle потвърди наличието на нова уязвимост, класифицирана като CVE-2025-61882, и пусна спешен ъпдейт за клиентите си.

• Изследователи от Mandiant и Google проследиха вълна от опити за изнудване, при които злоумишлени лица изпращат известия до потенциалните жертви, твърдейки, че данните им са откраднати чрез експлоатация на уязвимост в Oracle E-Business Suite.

• Clop има дълга история на използване на уязвимости от типа нулев ден за масови кражби на данни и последващо изнудване – от Accellion (2020) през SolarWinds Serv-U (2021) и GoAnywhere/MOVEit кампаниите (2023) до експлоатации на Cleo през 2024 г.

Рисковете и последиците

Използването на нови уязвимости позволява на нападателите бързо и практически невидимо да извличат чувствителни данни от целеви организации. Публикацията на името на институция като Харвард на сайта на Clop обикновено цели да упражни обществен натиск и да убеди жертвите да платят откупи, за да предотвратят разгласяване на данни.

За организациите това означава няколко непосредствени действия:

• бързо прилагане на официалните пачове и актуализации от доставчика;

• провеждане на задълбочени вътрешни разследвания и преглед на логовете за признаци на ексфилтрация;

• уведомяване на засегнатите страни в съответствие с регулаторните изисквания;

• преглед и засилване на мерките за наблюдение, откриване и реакция на инциденти.

Какво следва

Харвард е първата публично свързана организация във връзка с конкретните атаки срещу Oracle E-Business Suite, но Mandiant и други изследователи предупреждават, че в следващите дни и седмици вероятно ще се появят още засегнати клиенти. Организациите, използващи Oracle E-Business Suite, трябва да възприемат предпазни мерки незабавно – да проверят дали са приложили всички критични ъпдейти, да усилят мониторинга за необичайна активност и да координират комуникацията си с правоприлагащите органи и доставчика.