Oracle hat offiziell bestätigt, dass ihre veraltete Cloud Classic-Infrastruktur Ziel eines schwerwiegenden Sicherheitsvorfalls wurde. Bei dem Angriff wurden sensible Unternehmensdaten kompromittiert, die zuletzt 2017 aktiv genutzt wurden. Die Sicherheitsverletzung betrifft mehr als 140.000 Unternehmensdomänen und unterstreicht die anhaltenden Risiken veralteter Systeme.
Chronologie und Entdeckung des Sicherheitsvorfalls
Der Vorfall wurde erstmals im März 2025 publik, als ein Hacker unter dem Pseudonym „rose87168“ auf BreachForums gestohlene Daten zum Verkauf anbot. Als Beweis wurden Datensätze veröffentlicht, die die Authentizität der kompromittierten Informationen bestätigten. Der Angreifer bot die Daten im Austausch gegen Zero-Day-Exploits an.
Technische Analyse der Sicherheitsverletzung
Sicherheitsforscher von CybelAngel haben ermittelt, dass der Angriff im Januar 2025 durch die Ausnutzung einer Java-Schwachstelle aus dem Jahr 2020 erfolgte. Die Angreifer verschafften sich Zugang zu Oracle Gen 1 Servern und installierten eine Web Shell, die es ihnen ermöglichte, E-Mail-Adressen, gehashte Passwörter und Benutzernamen aus der Oracle Identity Manager-Datenbank zu extrahieren.
Paralleler Angriff auf Oracle Health
Zeitgleich wurde ein separater Sicherheitsvorfall bei Oracle Health (ehemals Cerner) bekannt. Diese Kompromittierung betraf zahlreiche US-Gesundheitseinrichtungen und führte zur Exposition vertraulicher Patientendaten. Die Angreifer nutzten kompromittierte Zugangsdaten, um auf Cerner-Datenmigrations-Server zuzugreifen.
Reaktion und Untersuchungsmaßnahmen
Die Untersuchung wird derzeit von CrowdStrike in Zusammenarbeit mit dem FBI durchgeführt. Oracle hat damit begonnen, betroffene Kunden individuell zu benachrichtigen. Das Unternehmen betont, dass ausschließlich die veraltete Infrastruktur betroffen war. Cybersicherheitsexperte Kevin Beaumont weist darauf hin, dass Oracles ursprüngliche Verneinung des Vorfalls zwar technisch korrekt war, aber eine semantische Wortspielerei darstellt.
Dieser Vorfall verdeutlicht die kritische Bedeutung eines systematischen Lifecycle-Managements für Cloud-Infrastrukturen. Organisationen wird dringend empfohlen, ihre Cloud-Services regelmäßig zu überprüfen, veraltete Systeme zeitnah außer Betrieb zu nehmen und ein umfassendes Schwachstellenmanagement zu implementieren. Besonders Legacy-Systeme erfordern erhöhte Aufmerksamkeit, da sie oft übersehene Einfallstore für Cyberangriffe darstellen.
