由于担心涉及旧式 Oracle 云环境的潜在危害,美国网络安全和基础设施安全局 (CISA) 敦促组织和个人采取预防措施。
CISA 在周三发布的警报中承认,持续存在针对 Oracle 客户的可疑活动报告。虽然威胁的总体范围尚不清楚,但该机构指出了若干风险,尤其是在凭证暴露或重复使用方面。
CISA 的指南强调了凭证材料(例如用户名、密码、身份验证令牌和加密密钥)嵌入脚本、自动化工具或基础设施模板的危险性。这些凭证一旦被盗,可能会授予攻击者长期访问权限,而且通常难以检测。
该机构建议各组织采取几个关键步骤:
- 为可能受到影响的用户重置密码,尤其是在凭证不通过集中身份系统管理的情况下。
- 审查并更新可能包含硬编码凭据的任何脚本、代码或配置文件,并用安全的身份验证方法替换它们。
- 监控身份验证日志中是否有任何异常活动,并特别注意具有管理权限或提升权限的帐户。
- 尽可能对用户和管理员帐户强制实施防网络钓鱼的多因素身份验证。
此公告是在最近几周关于大规模数据泄露事件的指控发布之后发布的,此次数据泄露事件涉及多达 600 万条记录和 14 万 Oracle 租户。CloudSek 的研究人员指出 Oracle Cloud 的登录系统存在漏洞,而 TrustWave SpiderLabs 随后表示,其对数据集的分析支持这些数据泄露指控。
Oracle 已公开否认其 Oracle 云基础设施 (OCI) 遭到任何入侵,并坚称客户数据未受影响。尽管如此,该公司尚未发布正式指南或公开咨询,概述客户的后续行动。安全专家表示,Oracle 已与一些客户私下沟通,但在公开领域基本保持沉默。
甲骨文发言人本月早些时候向 Cybersecurity Dive 重申:“Oracle Cloud(OCI)没有受到任何攻击”,并补充说,流传的凭证与 OCI 无关。
即便如此,已经提起了两起诉讼——一起针对密苏里州的 Oracle Health,另一起针对德克萨斯州的 Oracle Corporation。
一些行业组织呼吁甲骨文更加公开透明。健康信息共享与分析中心首席安全官埃罗尔·韦斯表示,甲骨文尚未回应与该组织成员接触的邀请。“我们对甲骨文缺乏透明度感到失望,”他说。
IT-ISAC 威胁情报总监乔纳森·布雷利 (Jonathan Braley) 表示,CISA 的公告提供了一些方向,而利益相关者仍在等待更详细的信息。“这份公告很有帮助,因为我们有一份可靠的报告可以分享,不过在我们大家都在等待 Oracle 提供详细信息的同时,CISA 似乎已经采取了主动的姿态来缓解‘潜在的未经授权的访问’,”他说道。
目前,安全专家仍在继续监控情况,并呼吁甲骨文向其客户和更广泛的网络安全社区提供进一步的澄清。
