Ein schwerwiegender Sicherheitsvorfall erschüttert die Cloud-Infrastruktur von Oracle. Trotz offizieller Dementis des Technologieriesen häufen sich die Beweise für einen großangelegten Hack, bei dem sensible Daten von mehr als 6 Millionen Nutzern kompromittiert wurden. Unabhängige Sicherheitsexperten bestätigen die Authentizität des Vorfalls, der die föderativen Single-Sign-On (SSO) Server des Unternehmens betrifft.
Technische Details der Sicherheitslücke
Die Analyse des Sicherheitsvorfalls durch Cloudsek zeigt, dass der kompromittierte Server login.us2.oraclecloud.com auf einer veralteten Version von Oracle Fusion Middleware 11g basierte. Diese Version enthält eine kritische Schwachstelle (CVE-2021-35587), die es nicht autorisierten Angreifern ermöglicht, die vollständige Kontrolle über den Oracle Access Manager zu erlangen. Nach Entdeckung der Kompromittierung wurde der betroffene Server umgehend vom Netz genommen.
Umfang und Art der kompromittierten Daten
Der Angreifer, der unter dem Pseudonym rose87168 agiert, veröffentlichte auf BreachForums umfangreiche Datensätze aus der Oracle Cloud. Das gestohlene Material umfasst:
- Verschlüsselte SSO-Passwörter
- Java Keystore (JKS) Dateien
- Kritische Enterprise Management Keys
- LDAP-Informationen
- Eine Liste von über 140.000 betroffenen Unternehmensdomänen
Verifizierung und unabhängige Bestätigung
Das Technologie-Portal Bleeping Computer führte eine unabhängige Untersuchung durch, bei der mehrere betroffene Unternehmen die Authentizität der gestohlenen Daten bestätigten. Die Verifizierung umfasste die Überprüfung von LDAP-Informationen, Benutzernamen und E-Mail-Adressen. Der Angreifer demonstrierte zusätzlich seine weitreichenden Zugriffsmöglichkeiten durch die direkte Erstellung von Dateien auf Oracle Cloud Servern.
Betroffen: Kunden von Oracle Cloud Classic mit Daten im Oracle Identity Manager
Betroffen sind Unternehmen und Behörden, die Oracle Cloud Infrastructure (OCI) oder Oracle Fusion Middleware für SSO-Funktionen nutzen — insbesondere solche, die den Server login.us2.oraclecloud.com als Identitätsprovider verwenden. Da über 140.000 Unternehmensdomänen in den geleakten Daten erscheinen, ist davon auszugehen, dass mittelgroße und große Organisationen weltweit betroffen sind, die den Oracle Access Manager einsetzen.
Empfohlene Maßnahmen für betroffene Unternehmen
- Führen Sie umgehend ein vollständiges Audit aller Oracle Cloud-Zugangsdaten durch und setzen Sie alle SSO-Passwörter und API-Schlüssel zurück.
- Überprüfen Sie LDAP-Konfigurationen und Benutzerkonten auf unautorisierte Änderungen oder unbekannte Einträge.
- Aktualisieren Sie Oracle Fusion Middleware auf eine unterstützte Version und patchen Sie CVE-2021-35587 gemäß den Oracle Security Alerts.
- Aktivieren Sie erweiterte Protokollierung für alle SSO- und Access-Manager-Ereignisse, um nachträgliche Angriffe zu erkennen.
- Implementieren Sie Multi-Faktor-Authentifizierung für alle administrativen Zugänge zur Oracle Cloud-Infrastruktur.
Reaktion von Oracle
Oracle bestreitet weiterhin offiziell jegliche Kompromittierung ihrer Cloud-Infrastruktur. Diese Haltung steht im Widerspruch zu den vorliegenden Beweisen und den Bestätigungen durch unabhängige Quellen. Die mangelnde Transparenz in der Kommunikation verstärkt die Besorgnis in der Cybersecurity-Community. Der Vorfall unterstreicht die fundamentale Bedeutung regelmäßiger Software-Updates und proaktiver Sicherheitsmaßnahmen in Cloud-Umgebungen. Besonders kritisch ist die zeitnahe Aktualisierung von Middleware-Komponenten und die regelmäßige Überprüfung der Sicherheitskonfiguration von SSO-Systemen.
