Wprowadzenie do problemu / definicja luki
Barts Health NHS Trust (jeden z największych operatorów szpitali w Anglii) poinformował o kradzieży plików z bazy danych po ataku grupy Cl0p, która wykorzystała podatność typu zero-day w Oracle E-Business Suite (EBS). Skasowane dane dotyczą m.in. faktur z wieloletniego okresu i ujawniają imiona, nazwiska oraz adresy osób, które płaciły za leczenie lub usługi. Incydent nie dotknął elektronicznej dokumentacji medycznej ani systemów klinicznych. Zdarzenie miało miejsce w sierpniu 2025 r., a pliki pojawiły się w serwisie wyciekowym Cl0p w listopadzie 2025 r.. 5 grudnia 2025 r. Barts potwierdził sprawę publicznie.
W skrócie
- Wektor wejścia: zero-day w Oracle E-Business Suite, CVE-2025-61882 (RCE bez uwierzytelnienia przez HTTP).
- Skutek: kradzież plików z bazy (faktury, dane osób płacących, część byłych pracowników i dostawców).
- Zakres: dotyczy także plików księgowych usług świadczonych od kwietnia 2024 r. dla Barking, Havering and Redbridge University Hospitals NHS Trust (BHRUT), który opublikował osobny komunikat.
- Status techniczny: Oracle wydał pilny alert bezpieczeństwa i poprawki dla EBS 12.2.3–12.2.14.
- Atrybucja i kampania: skoordynowana fala kradzieży i wymuszeń na organizacjach z EBS, analizowana przez Google/Mandiant.
Kontekst / historia / powiązania
Według BleepingComputer, kampania Cl0p celowała globalnie w środowiska Oracle EBS, a lista potwierdzonych ofiar obejmuje m.in. instytucje akademickie i przedsiębiorstwa. W przypadku Barts Health atak wykryto dopiero po publikacji na „leak site” Cl0p; organizacja zapowiedziała uzyskanie sądowego zakazu dalszego rozpowszechniania danych.
Równolegle BHRUT potwierdził, iż incydent obejmuje również jego dane, ponieważ kontrakt na system finansowy i Oracle obsługuje dla niego Barts Health. BHRUT podkreśla, iż systemy kliniczne i nowy EPR nie zostały naruszone.
Analiza techniczna / szczegóły luki
Oracle opisał CVE-2025-61882 jako zdalnie wykorzystywaną RCE bez uwierzytelnienia w komponencie Oracle Concurrent Processing / BI Publisher Integration, możliwą do wyzwolenia przez HTTP. Luka dotyczy wersji 12.2.3–12.2.14 i posiada bazowy wynik CVSS 9.8. Oracle opublikował wskaźniki kompromitacji (IOCs) oraz zalecił niezwłoczne łatanie.
Analiza Google Threat Intelligence/Mandiant wskazuje, iż aktor powiązany z marką CL0P eksploatował łańcuch(y) podatności w EBS co najmniej od 9 sierpnia 2025 r., a wcześniej (lipiec) obserwowano podejrzane próby. Opisano m.in. wektory obejmujące UiServlet i SyncServlet oraz nadużycie XDO Template Manager do osadzenia złośliwych szablonów XSL w bazie EBS, prowadzących do wykonania kodu (implanty Java: GOLDVEIN.JAVA / SAGEGIFT / SAGELEAF / SAGEWAVE).
Praktyczne konsekwencje / ryzyko
- Ryzyko dla osób: dane adresowe i rozliczeniowe mogą zostać użyte do ataków socjotechnicznych (phishing, vishing, próby wyłudzeń), mimo iż same pliki nie dają bezpośredniego dostępu do kont. Barts podkreśla ostrożność wobec niezamówionych próśb o płatność/dane.
- Ryzyko dla organizacji: masowa eksploatacja publicznie dostępnych aplikacji ERP redukuje konieczność poruszania się po sieci ofiary—sprzyja cichej eksfiltracji danych i falowym kampaniom wymuszeń.
- Ryzyko prawne/regulacyjne: incydent zgłoszono do ICO; Barts i BHRUT współpracują z NCSC oraz organami ścigania.
Rekomendacje operacyjne / co zrobić teraz
Dla zespołów IT/bezpieczeństwa korzystających z Oracle EBS:
- Natychmiast zastosuj poprawki Oracle (Alert dla CVE-2025-61882 i późniejsze poprawki dla EBS), w tym wymagane pre-rekwizyty CPU.
- Zapoluj na artefakty w bazie EBS: przeszukaj tabele XDO_TEMPLATES_B oraz XDO_LOBS pod kątem nieznanych/malicious szablonów (prefiks TMP/DEF, typ XSL-TEXT/XML) i anomalii w TemplatePreviewPG.
- Ogranicz ruch wychodzący z serwerów EBS — zablokuj niepotrzebne połączenia do Internetu (utrudnia to pobieranie 2. etapu i eksfiltrację).
- Monitoruj wzorce HTTP do UiServlet / SyncServlet oraz IOC z alertu Oracle (adresy IP, ciągi poleceń, sumy SHA256).
- Twarde segmentowanie i kopie zapasowe aplikacji ERP; osobne konta serwisowe i rotacja haseł/kluczy używanych przez EBS. (zalecenie ogólne)
Dla działów ryzyka/zgodności:
- Ocena DPIA/ryzyka RODO dla procesów finansowych powiązanych z EBS; przygotowanie szablonów komunikacji do osób, których dane mogły zostać naruszone, i kanału wsparcia (FAQ, hotline). (zalecenie ogólne)
Dla osób, których dane mogły zostać ujawnione:
- Weryfikuj żądania płatności/aktualizacji danych tylko przez znane kanały; zachowaj czujność wobec prób socjotechniki, zgodnie z komunikatami Barts/BHRUT.
Różnice / porównania z innymi przypadkami (jeśli dotyczy)
Kampania wokół Oracle EBS wpisuje się w taktykę znaną z wcześniejszych akcji Cl0p/FIN11 przeciwko MFT (Accellion FTA, GoAnywhere, MOVEit): masowa eksploatacja zero-day aplikacji brzegowych, szybka eksfiltracja, a ekspozycja ofiar i wymuszenia następują po tygodniach. W porównaniu z incydentami MFT, komponenty EBS (np. BI Publisher/XDO) dają inny zestaw wektorów RCE (XSL, servlet’y) i wymagają specyficznych polowań na artefakty w bazie.
Podsumowanie / najważniejsze wnioski
- Incydent w Barts Health NHS i BHRUT to element szerszej fali wymuszeń na użytkownikach Oracle EBS; wektorem był CVE-2025-61882 (RCE, CVSS 9.8). Szybkie łatanie i detekcja artefaktów XDO w bazie są krytyczne.
- Dane kliniczne nie zostały dotknięte, ale ryzyko socjotechniki wobec pacjentów/pracowników jest realne.
- Organizacje z EBS powinny przyjąć model „assume breach” i przeprowadzić threat hunting wg wskazówek Oracle/Mandiant.
Źródła / bibliografia
- BleepingComputer — Barts Health NHS discloses data breach after Oracle zero-day hack (05.12.2025). (BleepingComputer)
- Barts Health NHS — Cl0p cyberattack update (05.12.2025). (Barts Health NHS Trust)
- BHR University Hospitals NHS Trust — Data incident (05.12.2025). (BHR Hospitals)
- Oracle — Security Alert Advisory – CVE-2025-61882 (Oracle E-Business Suite) (10.2025). (Oracle)
- Google Cloud / Mandiant — Oracle E-Business Suite Zero-Day Exploited in Widespread Extortion Campaign (09–10.2025). (Google Cloud)
