Несмотря на официальные опровержения Oracle, появляются новые доказательства масштабного взлома облачной инфраструктуры компании. Независимые источники подтверждают компрометацию федеративных SSO-серверов Oracle Cloud и похищение конфиденциальных данных более 6 миллионов пользователей.
Подробности инцидента и действия злоумышленника
Хакер, известный под псевдонимом rose87168, опубликовал на форуме BreachForums похищенные данные из Oracle Cloud. В качестве подтверждения своих действий злоумышленник предоставил образцы украденной информации, включая текстовые файлы из баз данных, информацию LDAP и список из более чем 140 тысяч затронутых корпоративных доменов. Особую озабоченность вызывает тот факт, что похищенные данные содержат зашифрованные пароли SSO, файлы Java Keystore (JKS) и критически важные ключи управления предприятием.
Технические аспекты компрометации
Специалисты компании Cloudsek установили, что взломанный сервер login.us2.oraclecloud.com функционировал на устаревшей версии Oracle Fusion Middleware 11g. Данная версия программного обеспечения содержит критическую уязвимость CVE-2021-35587, позволяющую неавторизованным пользователям получить контроль над Oracle Access Manager. После обнаружения компрометации сервер был экстренно отключен администраторами Oracle.
Подтверждение подлинности данных
Издание Bleeping Computer провело независимое расследование, в ходе которого несколько пострадавших компаний на условиях анонимности подтвердили подлинность похищенных данных. Представители организаций верифицировали корректность информации LDAP, включая имена пользователей и адреса электронной почты. Дополнительным свидетельством взлома служит демонстрация злоумышленником возможности создания файлов непосредственно на серверах Oracle Cloud.
Реакция Oracle и последствия инцидента
Несмотря на растущий объем доказательств, Oracle продолжает отрицать факт компрометации своей облачной инфраструктуры. Компания утверждает, что опубликованные учетные данные не связаны с Oracle Cloud, а клиенты не пострадали от кибератаки. Однако отсутствие прозрачной коммуникации со стороны Oracle и подтверждение подлинности данных независимыми источниками вызывает серьезную обеспокоенность в профессиональном сообществе.
Данный инцидент подчеркивает критическую важность своевременного обновления программного обеспечения и регулярного аудита безопасности облачной инфраструктуры. Организациям, использующим сервисы Oracle Cloud, рекомендуется провести внеплановую проверку безопасности, обновить учетные данные и усилить мониторинг подозрительной активности в своих системах.