نفوذ سایبری به هاروارد از طریق آسیب‌پذیری روز صفر اوراکل

به گزارش کارگروه امنیت خبرگزاری سایبربان، در بیانیه‌ای به وب‌سایت ریکوردد فیوچر نیوز (Recorded Future News)، این دانشگاه اعلام کرد در حال بررسی ادعاهای اخیر هکرها مبنی بر سرقت داده‌ها از این سیستم است.

مسئولان تأیید کردند که این حادثه «تعداد محدودی از طرف‌های مرتبط با یک واحد اداری کوچک» را تحت تأثیر قرار داده است.

سخنگوی دانشگاه اظهار کرد:

هاروارد از گزارش‌هایی آگاه است که نشان می‌دهد داده‌های مرتبط با دانشگاه به‌دلیل وجود یک آسیب‌پذیری روز صفر در سیستم اوراکل ای-بیزنس سوت (Oracle E-Business Suite) به دست آمده است. این مشکل بسیاری از مشتریان این سیستم را تحت تأثیر قرار داده و مختص هاروارد نیست. به‌محض دریافت وصله امنیتی از سوی اوراکل، آن را برای رفع آسیب‌پذیری اعمال کردیم. ما همچنان وضعیت را پایش می‌کنیم و هیچ شواهدی از نفوذ به سایر سیستم‌های دانشگاه در دست نیست.

روز شنبه، نام دانشگاه هاروارد در وب‌سایت افشای اطلاعات گروه باج‌افزار روسی کلوپ (Clop) درج شد؛ گروهی که طی هفته‌های گذشته مدعی شده است از طریق آسیب‌پذیری‌های موجود در اوراکل ای-بیزنس سوت حجم زیادی از داده‌ها را سرقت کرده است.

این پلتفرم پرکاربرد شامل مجموعه‌ای از برنامه‌های مدیریتی برای امور مالی، منابع انسانی و زنجیره تأمین است.

اف‌بی‌آی و مقامات امنیت سایبری بریتانیا گزارش شرکت امنیتی ماندیانت (Mandiant) (زیرمجموعه گوگل) را تأیید کردند که این حمله با سوءاستفاده از آسیب‌پذیری CVE-2025-61882 مرتبط بوده است.

برت لِدِرمن، معاون مدیر اف‌بی‌آی، اظهار کرد:

آسیب‌پذیری CVE-2025-61882 از نوعی است که باید تمام کارها را متوقف کرده و فوراً وصله شود.

در همین آخر هفته، شرکت اوراکل هشدارنامه جدیدی درباره آسیب‌پذیری دیگری با شناسه CVE-2025-61884 منتشر کرد که آن نیز بر سیستم ای-بیزنس سوت تأثیر می‌گذارد.

کارزار حمله به ای-بیزنس سوت حدود دو هفته پیش آغاز شد، زمانی که عاملان تهدید که خود را وابسته به گروه کلوپ معرفی کردند، تلاش کردند مدیران شرکت‌ها را با تهدید به انتشار اطلاعات حساس سرقت‌شده از این پلتفرم، وادار به پرداخت باج کنند.

شرکت اوراکل وقوع این کارزار را تأیید کرد، اما ابتدا اعلام کرد هکرها از باگ‌هایی سوءاستفاده کرده‌اند که در به‌روزرسانی ماه ژوئیه رفع شده بودند، بدون آن‌که مشخص کند دقیقاً کدام آسیب‌پذیری‌ها مورد استفاده قرار گرفته‌اند.

آستین لارسن، تحلیلگر ارشد تهدید در گروه اطلاعات تهدید گوگل، اظهار کرد:

ما از وجود ده‌ها قربانی اطلاع داریم، اما انتظار داریم تعداد آن‌ها بسیار بیشتر باشد. با توجه به گستردگی کارزارهای پیشین گروه کلوپ، احتمالاً شمار قربانیان از صد مورد فراتر می‌رود.

شرکت ماندیانت هفته گذشته اعلام کرد که مهاجمان احتمالاً چندین آسیب‌پذیری مجزا از جمله CVE-2025-61882 را به‌صورت زنجیره‌ای ترکیب کرده‌اند تا به پلتفرم دسترسی یافته و «حجم عظیمی از داده‌های مشتریان» را سرقت کنند.

لدرمن از اف‌بی‌آی هشدار داد که مشتریان اوراکل ای-بیزنس سوت باید سرورهای مشکوک را ایزوله کرده و کانال‌های اطلاعات تهدید را به‌طور مداوم پایش کنند، زیرا فعالیت‌های بهره‌برداری می‌تواند به‌سرعت تشدید شود.

او توضیح داد:

سیستم ای-بیزنس سوت همچنان ستون فقرات سیستم‌های ERP برای شرکت‌های بزرگ و نهادهای بخش عمومی است، به همین دلیل مهاجمان هر انگیزه‌ای برای تسلیح سریع این آسیب‌پذیری دارند. اگر مشکوک به نفوذ هستید، لطفاً فوراً با ما تماس بگیرید.

سینتیا کایزر، معاون پیشین بخش سایبری اف‌بی‌آی و اکنون از اعضای شرکت پاسخ‌گویی به حوادث هالسیون (Halcyon)، توضیح داد که نخستین تماس ایمیلی از سوی گروه کلوپ در اواخر سپتامبر مشاهده شد.

او افزود:

تا این لحظه درخواست‌های باج از سوی این گروه در محدوده چند میلیون تا ده‌ها میلیون دلار بوده است.

کایزر توضیح داد که هکرها برای اثبات دسترسی خود، تصاویری از صفحه‌نمایش و ساختار فایل‌ها را به اشتراک گذاشته‌اند.