CloudSEK的XVigil平臺近期調(diào)查發(fā)現(xiàn)，一起針對甲骨文云（Oracle Cloud）的網(wǎng)絡攻擊導致600萬條記錄被竊取，可能影響超過14萬名租戶。

據(jù)報道，一名名為“rose87168”的威脅行為者實施了此次攻擊，竊取了包括JKS文件、加密的SSO密碼、密鑰文件和企業(yè)管理器JPS密鑰在內(nèi)的敏感數(shù)據(jù)，這些數(shù)據(jù)目前正在Breach Forums和其他暗網(wǎng)論壇上出售。

攻擊細節(jié)與威脅行為者活動

自2025年1月以來，該攻擊者一直活躍，聲稱已攻陷子域名login.us2.oraclecloud.com，該子域名現(xiàn)已被關閉。根據(jù)2025年2月17日的Wayback Machine記錄，該子域名曾托管Oracle Fusion Middleware 11G。攻擊者要求受影響租戶支付贖金以刪除其數(shù)據(jù)，甚至為協(xié)助解密被盜的SSO和LDAP密碼提供獎勵。

CloudSEK的分析表明，威脅行為者可能利用了Oracle Cloud服務器的漏洞版本，特別是舊版漏洞CVE-2021-35587，該漏洞影響Oracle Fusion Middleware（OpenSSO Agent），受影響的版本包括：

• 11.1.2.3.0
• 12.2.1.3.0
• 12.2.1.4.0

該漏洞于2022年12月被添加到CISA KEV目錄中，允許未經(jīng)身份驗證的攻擊者攻陷Oracle Access Manager，可能導致完全控制。這與攻擊者竊取和共享的數(shù)據(jù)類型一致。利用該漏洞，攻擊者可能獲得環(huán)境的初始訪問權限，然后在Oracle云環(huán)境中橫向移動，訪問其他系統(tǒng)和數(shù)據(jù)。進一步調(diào)查顯示，Oracle Fusion Middleware服務器最后一次更新是在2014年9月27日，表明軟件已過時。

CloudSEK研究人員在與Hackread.com獨家分享的博客文章中指出：“由于缺乏補丁管理實踐和/或不安全的編碼，威脅行為者利用了Oracle Fusion Middleware中的漏洞。這一易于利用的漏洞允許未經(jīng)身份驗證的攻擊者通過HTTP網(wǎng)絡訪問攻陷Oracle Access Manager。”

甲骨文的回應與潛在影響

然而，甲骨文發(fā)布聲明否認其云基礎設施遭到入侵。甲骨文在回應報告時表示 ：“甲骨文云并未遭到入侵。公布的憑證并非用于甲骨文云。沒有任何甲骨云客戶遭遇入侵或丟失數(shù)據(jù)?！边@一聲明直接與CloudSEK的調(diào)查結果和攻擊者的說法相矛盾。

盡管如此，如果此次入侵確實發(fā)生，其影響可能非常嚴重，因為600萬條記錄的暴露增加了未經(jīng)授權訪問和企業(yè)間諜活動的風險。JKS文件的竊取尤為令人擔憂，因為這些文件包含加密密鑰，可用于解密敏感數(shù)據(jù)或訪問受影響組織內(nèi)的其他系統(tǒng)。此外，加密的SSO和LDAP密碼的泄露可能導致甲骨文云環(huán)境中進一步的數(shù)據(jù)泄露。零日漏洞的使用也引發(fā)了對甲骨云整體安全性的擔憂。

安全建議與應對措施

CloudSEK建議立即進行憑證輪換、徹底的事件響應和取證、持續(xù)的威脅情報監(jiān)控，并與甲骨文安全團隊聯(lián)系以進行驗證和緩解。他們還建議加強訪問控制，以防止未來類似事件的發(fā)生。