出典: Sonja Blom / Alamy Stock Photo
ハーバード大学は、最近公開されたOracleのE-Business Suite(EBS)システムのゼロデイ脆弱性を悪用した攻撃の被害に遭ったことを認めました。
CVE-2025-61882として追跡されているこの重大な脆弱性は、認証なしで攻撃者がリモートからEBSインスタンスにアクセスできるものです。この脆弱性は、悪名高いClopランサムウェア集団によってOracle顧客への攻撃で悪用されています。
「ハーバード大学は、Oracle E-Business Suiteシステムのゼロデイ脆弱性により、大学に関連するデータが取得されたという報告を認識しています」と大学はDark Readingに語りました。「この問題は多くのOracle E-Business Suite顧客に影響を与えており、ハーバード特有のものではありません。調査は継続中ですが、このインシデントは小規模な管理部門に関連する限られた関係者のみに影響していると考えています。」
米国と英国の当局は、CVE-2025-61882の悪用について警告を発しており、FBIのブレット・リースマン副局長はこのバグを「今すぐ作業を中断してパッチを適用すべき」脆弱性だとLinkedIn投稿で述べています。
アイビーリーグの同大学は、Oracleがアップデートを発行した後にパッチを適用したと述べています。状況の監視を続けているものの、ハーバードは他のシステムへのさらなる侵害の証拠は見つかっていないとしています。
Clop攻撃の中、Oracleが別の脆弱性にもパッチを適用
数日前、Clopはハーバードをダークウェブのリークサイトに追加し、大学のデータを大量に盗んだと主張しました。この侵害は、Googleの脅威インテリジェンスグループとMandiantによると、9月29日に始まったより大規模なキャンペーンの一部です。
「我々の分析によれば、CL0Pによる恐喝キャンペーンは、EBS顧客環境を標的とした数か月にわたる侵入活動に続いて行われました」と研究者らは述べています。「攻撃者は、2025年8月9日にはすでにOracle EBS顧客に対してゼロデイ脆弱性としてCVE-2025-61882を悪用しており、パッチが提供される数週間前から、2025年7月10日にまでさかのぼる不審な活動も確認されています。」
Oracleは当初、これらの攻撃を7月に公開・修正された過去の脆弱性に関連付けていました。しかし、同社は今月初め、EBSインスタンスへの攻撃がCVE-2025-61882に起因していることを明らかにしました。
Oracleはその後、CVE-2025-61884として追跡されるEBSに影響する別の脆弱性に関する新たなアドバイザリを発表しました。このバグは10月11日に公開され、バージョン12.2.3~12.2.14に影響し、認証なしでリモートから悪用可能です。OracleはCVE-2025-61882の時と同様に、顧客に対して緊急アップデートの適用をできるだけ早く行うよう「強く」推奨しています。
Oracleのアドバイザリでは、CVE-2025-61884が現時点でEBS顧客に対して実際に悪用されているかどうかは明記されていませんが、複数のサイバーセキュリティ企業が組織に対し、この脆弱性の緩和を優先するよう促しています。「過去の標的化や最近のCl0pランサムウェア活動を踏まえると、脅威アクターが今後関心を示し、悪用を試みる可能性が高い」とArctic Wolfのシニア脅威インテリジェンス研究員アンドレス・ラモス氏はブログ投稿で述べています。
2023年、ClopはProgress SoftwareのMOVEit Transferソフトウェアのゼロデイ脆弱性を悪用し、 推定2,000の組織に影響を与える大規模な攻撃キャンペーンを展開しました。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/harvard-breached-oracle-zero-day-attack
