Dartmouth College potwierdza kradzież danych w kampanii na Oracle E-Business Suite

Wprowadzenie do problemu / definicja luki

Dartmouth College potwierdziło naruszenie danych po ataku na instancję Oracle E-Business Suite (EBS). Uczelnia wskazała, iż atakujący wykradli pliki zawierające m.in. numery Social Security (SSN) i — w części przypadków — informacje o rachunkach finansowych. Incydent miał miejsce między 9 a 12 sierpnia 2025 r., a powiązano go z kampanią wykorzystującą zero-day w Oracle EBS. Na portalu Cl0p opublikowano ~226 GB archiwów rzekomo pochodzących z Dartmouth.

Według korespondencji i zgłoszeń regulacyjnych, Dartmouth rozpoczął wysyłkę powiadomień 24 listopada 2025 r. — zgłaszając m.in. 1 494 mieszkańców Maine i ponad 31 000 osób w New Hampshire jako potencjalnie dotknięte (łączna skala przez cały czas nie została publicznie podana).

W skrócie

• Wektor: zero-day CVE-2025-61882 w Oracle EBS, zdalnie wykorzystywany bez uwierzytelnienia, umożliwiający RCE i eksfiltrację danych.
• Sprawcy: kampania przypisywana grupie Cl0p/FIN11 (duża, skoordynowana fala wymuszeń i wycieków danych).
• Okno ataku: 9–12 sierpnia 2025 r.; identyfikacja danych w październiku; powiadomienia od 24 listopada.
• Skutek: publikacja ~226 GB danych Dartmouth; inne ofiary to m.in. Harvard, The Washington Post, Cox, Canon, Mazda.

Kontekst / historia / powiązania

Google Cloud Threat Intelligence opisało szeroko zakrojoną kampanię wymuszeń, w której aktor pod marką CL0P wykorzystywał zero-day w Oracle EBS, uderzając w „dziesiątki organizacji”. Wzorzec odpowiada wcześniejszym działaniom FIN11/Cl0p: masowe wykorzystanie luki 0-day → milcząca eksfiltracja → publikacja nazw ofiar → negocjacje.

Oracle wydało dedykowany Security Alert dla CVE-2025-61882, podkreślając, iż luka jest zdalnie wykorzystywana bez uwierzytelnienia i może prowadzić do RCE. To tłumaczy, dlaczego kampania była tak szybka i skuteczna.

Analiza techniczna / szczegóły luki

• CVE-2025-61882 (Oracle EBS) — luka umożliwia zdalne wykonanie kodu bez konta użytkownika (network exploitable, unauthenticated). W praktyce oznacza to, iż wystawione do Internetu komponenty EBS (np. interfejsy webowe) mogły być celem ataku bez wcześniejszej kompromitacji tożsamości.
• TTP Cl0p/FIN11 — zgodnie z analizą GCTI, atakujący prowadzą krótkie okna „smash-and-grab”, zbierając „mass amounts of customer data”, a dopiero po tygodniach uruchamiają presję reputacyjną (naming-and-shaming) na stronie wycieków. To zbieżne z osi czasu Dartmouth (sierpień → październik → listopad).

Zakres danych Dartmouth: listy informacyjne do organów USA wskazują na SSN oraz w części przypadków informacje o rachunkach finansowych; SecurityWeek dodał, iż na leak-site Cl0p opublikowano ~226 GB archiwów.

Praktyczne konsekwencje / ryzyko

• Ryzyko dla osób: kradzież tożsamości (SSN), oszustwa finansowe (dane rachunków), spear-phishing wobec studentów, absolwentów, darczyńców i pracowników.
• Ryzyko organizacyjne: wycieki dokumentów operacyjnych/HR/finansowych; ryzyko wtórnych nadużyć (np. „vendor impersonation”). Utrata reputacji i potencjalne pozwy zbiorowe — już pojawiają się zapowiedzi postępowań.
• Łańcuch dostaw: kampania dotknęła media, przemysł i edukację; Reuters i inne źródła potwierdzają szeroki zasięg (dziesiątki organizacji).

Rekomendacje operacyjne / co zrobić teraz

Dla organizacji na Oracle EBS:

1. Niezwłocznie załataj instancje do poziomu wskazanego w Oracle Security Alert dla CVE-2025-61882; weryfikuj brak odchyleń konfiguracyjnych.
2. Zamknij ekspozycję: ogranicz dostęp z Internetu (WAF/VPN), segmentuj sieć, egzekwuj mTLS/allow-list dla interfejsów integracyjnych.
3. Hunting i IR: przeszukaj logi z 8–15 sierpnia 2025 r. oraz późniejsze okna pod kątem anomalii (nietypowe żądania HTTP, pliki w katalogach tymczasowych, procesy JVM/OS uruchamiane poza planem aplikacyjnym). Koreluj z egress/NetFlow (duże transfery). W razie braku pełnych logów — wykonaj retrospektywny forensics. (Oś czasu kampanii opisana przez GCTI).
4. Egress-control: wymuś DLP/egress filtering i alerty na duże archiwa opuszczające serwer EBS (ZIP/TAR).
5. Hardening EBS: egzekwuj zasady Oracle Secure Configuration (silne nagłówki, blokada nieużywanych usług, rotacja kluczy), skanuj SAST/DAST dla customizacji i integracji.
6. Zarządzanie ryzykiem dostawcy: potwierdź, które systemy trzecie są zasilane danymi z EBS; przeprowadź rekonsyliację zakresu danych i anuluj klucze/API, których nie używasz.
7. Komunikacja i zgodność: o ile w grę wchodzi PII studentów/pracowników, przygotuj powiadomienia regulacyjne i ofertę monitoringu kredytowego — Dartmouth zaoferował roczny monitoring osobom z ujawnionym SSN.

Dla poszkodowanych osób (studenci/absolwenci/pracownicy):

• Aktywuj monitoring kredytowy z listu powiadamiającego; rozważ zamrożenie kredytu i alerty kontowe.
• Zmień hasła w serwisach, gdzie użyto tych samych danych, i włącz 2FA.
• Uważaj na spear-phishing podszywający się pod dział finansowy/HR uczelni.

Różnice / porównania z innymi przypadkami

Cl0p wcześniej przeprowadził kampanie na MOVEit Transfer i GoAnywhere MFT, ale obecna fala różni się wektorem (aplikacja ERP/EBS) i czasem żniw (kilkudniowe okno eksfiltracji po 0-dayu, a dopiero po tygodniach presja wyciekami). Wspólne pozostaje szantaż reputacyjny i publikacja ofiar. (Kampania Oracle EBS została opisana przez Google/Reuters; wcześniejsze działania Cl0p stanowią spójny wzorzec FIN11).

Podsumowanie / najważniejsze wnioski

• Atak na Dartmouth to część szerokiej, przemysłowej kampanii na Oracle EBS z użyciem CVE-2025-61882.
• Czas reakcji jest krytyczny: choćby 2–3 dni ekspozycji wystarczyło na masową eksfiltrację (~226 GB w przypadku Dartmouth).
• Organizacje z EBS muszą traktować łatkę Oracle jako pilną, a równolegle prowadzić hunting pod kątem śladów z sierpnia 2025 r. i późniejszych.

Źródła / bibliografia

1. SecurityWeek — „Dartmouth College Confirms Data Theft in Oracle Hack” (aktualizacja 27 XI 2025). (SecurityWeek)
2. Oracle — Security Alert Advisory: CVE-2025-61882 (Oracle E-Business Suite). (Oracle)
3. Google Cloud Threat Intelligence — „Oracle E-Business Suite zero-day exploitation by CL0P/FIN11”. (Google Cloud)
4. BleepingComputer — „Dartmouth College confirms data breach after Cl0p extortion attack” (fragmenty listów do poszkodowanych). (BleepingComputer)
5. Reuters — potwierdzenia szerokości kampanii i ofiar (The Washington Post). (Reuters)