L’Université de Harvard enquête sur une violation de données après que le gang de rançongiciels Clop a répertorié l’école sur son site de fuite de données, affirmant que la violation présumée était probablement causée par une vulnérabilité zero-day récemment divulguée dans les serveurs de la suite E-Business d’Oracle.
« Harvard est au courant d’informations selon lesquelles des données associées à l’Université ont été obtenues à la suite d’une vulnérabilité zero-day dans le système Oracle E-Business Suite. Ce problème a eu un impact sur de nombreux clients de la suite Oracle E-Business et n’est pas spécifique à Harvard », a déclaré un porte-parole des technologies de l’information de l’Université Harvard à Breachtrace .
« Bien que l’enquête soit en cours, nous pensons que cet incident touche un nombre limité de parties associées à une petite unité administrative. »
« Après l’avoir reçu d’Oracle, nous avons appliqué un correctif pour remédier à la vulnérabilité. Nous continuons à surveiller et n’avons aucune preuve de compromis avec d’autres systèmes universitaires. »
Cette déclaration intervient après que le gang d’extorsion Clop a ajouté Harvard à son site d’extorsion de fuites de données, déclarant qu’il publierait bientôt publiquement les données de l’Université.
Plus tôt ce mois-ci, Mandiant et Google ont commencé à suivre une nouvelle campagne d’extorsion au cours de laquelle de nombreuses entreprises ont commencé à recevoir des courriels indiquant que des données sensibles avaient été volées dans leurs systèmes Oracle E-Business Suite.
Ces courriels provenaient de l’opération de ransomware Clop, qui avertissait que les données volées seraient divulguées si une demande de rançon n’était pas payée.
Bien que Clop n’ait pas partagé de détails sur l’attaque, ils ont confirmé à Breachtrace qu’ils étaient à l’origine des courriels et qu’une nouvelle faille Oracle avait été exploitée dans les attaques de vol de données.
« Bientôt, il deviendra évident qu’Oracle a mis sur écoute son produit principal et encore une fois, la tâche est en cours pour sauver la situation », a déclaré le gang d’extorsion à Breachtrace .
Peu de temps après, Oracle a confirmé qu’un nouveau jour zéro, suivi comme CVE-2025-61882, avait été trouvé dans le logiciel et a publié une mise à jour d’urgence.
Le gang d’extorsion Clop exploite depuis longtemps les failles zero-day dans les attaques massives de vol de données, notamment:
- 2020: Exploitation d’un jour zéro dans la plateforme FTA Accellion, affectant près de 100 organisations.
- 2021: Exploitation d’un jour zéro dans le logiciel FTP SolarWinds Serv-U.
- 2023: Exploitation d’un jour zéro dans la plate-forme MFT GoAnywhere, violation de plus de 100 entreprises.
- 2023: Exploiter un zero-day dans MOVEit Transfer a été la campagne la plus étendue de Clop à ce jour, où un exploit zero-day a permis le vol de données de 2 773 organisations dans le monde entier.
- 2024: Exploitation de deux jours zéro de transfert de fichiers Cleo (CVE-2024-50623 et CVE-2024-55956) pour voler des données et extorquer des entreprises.
Harvard est la première organisation liée aux attaques zero-day de la suite Oracle E-Business, mais nous en verrons probablement d’autres au cours des prochains jours et semaines.