据报道,针对 Oracle Cloud 的网络攻击引发了人们对广泛组织可能面临的数据泄露的担忧。
3 月 21 日,网络安全公司 CloudSEK 表示,600 万条记录遭到泄露,超过 140,000 名 Oracle Cloud 租户可能受到影响。
CloudSEK 将此事件归咎于一名名为“rose87168”的威胁行为者,据称他通过 Oracle 的单点登录 (SSO) 和轻量级目录访问协议 (LDAP) 系统获取了这些数据。攻击者已将这些记录列在网上出售,并据称要求受影响的公司支付数据删除费用。
涉嫌袭击范围和方法
根据 CloudSEK 的调查结果,攻击者利用 Oracle WebLogic Server 中未公开的漏洞获取与 Oracle Cloud 关联的跨区域登录端点的访问权限。据称,暴露的数据包括 Java KeyStore (JKS) 文件、SSO 和 LDAP 系统的加密密码、密钥文件以及企业管理器 JPS 密钥。
被入侵的终端被认为是“login.(region-name).oraclecloud.com”。攻击者还在 X(以前称为 Twitter)上创建了一个个人资料,似乎在关注与 Oracle 和受影响企业相关的账户,可能是为了向受害者施压。
鉴于报告的规模和所涉及数据的敏感性,CloudSEK 将该威胁评定为“高”。
CloudSEK 的回应和建议
该网络安全公司建议使用 Oracle Cloud 的组织迅速采取行动,例如重置凭证、启动法医调查、监控暗网上泄露的数据以及应用更严格的访问控制。
CloudSEK 进一步警告说,如果加密凭证被成功解密,可能会产生深远的后果,例如未经授权的访问、潜在的数据泄露以及对整个供应链的连接系统的风险。
Oracle 对违规指控提出异议
Oracle 否认其云系统遭到入侵。该公司发言人在给The Register的声明中表示:“Oracle Cloud 并未遭到入侵。发布的凭证不适用于 Oracle Cloud。没有 Oracle Cloud 客户遭遇入侵或丢失任何数据。”
该公司的回应是在威胁者进行在线活动之后做出的,威胁者在网络犯罪论坛上发布了据称被盗的 Oracle Cloud 数据样本,包括屏幕截图和上传到 Oracle 的一个登录服务器的文本文件。该文件包含与卖家关联的电子邮件地址,并被 Internet Archive 的 Wayback Machine 捕获。
虽然 Oracle 尚未发表进一步评论,但包括Bleeping Computer在内的第三方调查指出,据报道,其中一台受影响的服务器最近在 2025 年 2 月运行的是旧版本的 Oracle Fusion Middleware。安全研究人员推测,可能与未修补的严重漏洞 CVE-2021-35587 有关,尽管这一点尚未得到证实。
索赔事宜持续存在不确定性
攻击者似乎在此次事件之前没有任何已知记录,他还提供所谓数据以换取零日漏洞或加密货币。在论坛帖子中,他们声称大约一个月前曾联系过 Oracle,要求提供超过 2 亿美元的加密货币,以换取有关此次入侵的详细信息。
他们还寻求解密 SSO 和 LDAP 凭证的帮助,表明这些信息虽然已加密,但可以通过正确的工具或协作来使用。
除了数据之外,攻击者还分享了与受影响公司相关的域名列表。据报道,他们愿意从特定组织中删除员工信息,以换取报酬。
已知和未知
目前,数据泄露的全面范围和真实性仍在审查之中。Oracle 坚称其系统未遭入侵,而 CloudSEK 则继续警告与数据流通相关的严重风险。此次事件是经过核实的入侵还是夸大其词,仍有待更广泛的网络安全社区进行评估。
