一名威脅行為者針對Oracle云的登錄基礎(chǔ)設(shè)施發(fā)起了攻擊，利用了中間件漏洞，并向超過14萬家租戶索要贖金。

據(jù)報道，一名威脅行為者已經(jīng)攻破了Oracle云的基礎(chǔ)設(shè)施，竊取了600萬條敏感認(rèn)證記錄，并可能使超過14萬家企業(yè)客戶面臨風(fēng)險。據(jù)威脅情報公司CloudSEK稱，該攻擊者現(xiàn)在正在要求贖金支付，同時在地下論壇上積極出售被盜數(shù)據(jù)。

CloudSEK的XVigil安全研究團隊于2025年3月21日發(fā)現(xiàn)了此次泄露事件，當(dāng)時他們發(fā)現(xiàn)一名使用“rose87168”這一昵稱的威脅行為者正在出售從Oracle云的單點登錄(SSO)和輕量級目錄訪問協(xié)議(LDAP)系統(tǒng)中提取的數(shù)百萬條記錄。

被盜數(shù)據(jù)包括關(guān)鍵的安全組件，如Java密鑰庫(JKS)文件、加密的SSO密碼、密鑰文件和Enterprise Manager Java Platform Security(JPS)密鑰——這些都是Oracle云環(huán)境中進行身份驗證和訪問控制所必需的元素。

根據(jù)CloudSEK的調(diào)查，攻擊者聲稱是通過利用該公司登錄端點的一個漏洞，專門瞄準(zhǔn)了子域login.us2.oraclecloud.com，從而滲透進了Oracle的基礎(chǔ)設(shè)施。據(jù)報道，截至2025年2月17日，該子域仍在運行，但使用的是嚴(yán)重過時的軟件組件。

CloudSEK在報告中表示：“這名威脅行為者通過瞄準(zhǔn)關(guān)鍵的身份驗證基礎(chǔ)設(shè)施，展示出了高超的能力。他們不僅在出售數(shù)據(jù)，還在積極招募人員協(xié)助解密被盜密碼，這表明這是一次有組織且持續(xù)的威脅行動?！?/p>

Oracle否認(rèn)了數(shù)據(jù)泄露事件?！癘racle云沒有發(fā)生泄露事件。公布的憑據(jù)并非用于Oracle云。沒有Oracle云客戶遭遇泄露或丟失任何數(shù)據(jù)，”O(jiān)racle的一位發(fā)言人說道。

已知漏洞被利用

此次攻擊似乎利用了CVE-2021-35587這一Oracle Access Manager中的關(guān)鍵漏洞，該漏洞于2022年12月被網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)添加到已知被利用漏洞目錄中。報告中補充道，這一漏洞特別危險，因為它允許未經(jīng)身份驗證的攻擊者通過HTTP網(wǎng)絡(luò)訪問完全控制Oracle Access Manager實例。

數(shù)字取證證據(jù)表明，被攻破的服務(wù)器運行的是Oracle Fusion Middleware 11G，其組件最后一次更新是在2014年9月，也就是十多年前。補丁管理的嚴(yán)重滯后為漏洞利用創(chuàng)造了機會。

CloudSEK的報告中指出：“由于缺乏補丁管理實踐和/或不安全的編碼，Oracle Fusion Middleware中的漏洞被威脅行為者所利用。這一易于利用的漏洞允許未經(jīng)身份驗證的攻擊者通過HTTP網(wǎng)絡(luò)訪問來破壞Oracle Access Manager。成功利用此漏洞可導(dǎo)致接管Oracle Access Manager(OAM)。”

CloudSEK在報告中提到，這名威脅行為者據(jù)稱向一家獨立新聞機構(gòu)透露，他們利用了“Oracle云服務(wù)器的一個存在公開CVE的易受攻擊版本，而該版本目前沒有公開的概念驗證(Proof of Concept，PoC)或利用程序”。

報告中引用的互聯(lián)網(wǎng)檔案館記錄證實，截至2025年2月，被攻陷的子域仍在托管Oracle Fusion Middleware 11G，這違背了保持關(guān)鍵基礎(chǔ)設(shè)施使用最新安全補丁更新的標(biāo)準(zhǔn)安全實踐。

業(yè)務(wù)影響和風(fēng)險

出現(xiàn)了一個令人擔(dān)憂的情況，這名威脅行為者已經(jīng)發(fā)起了一場勒索運動，聯(lián)系受影響的公司，并要求支付贖金，以從被盜數(shù)據(jù)緩存中刪除他們的數(shù)據(jù)。這為受害者帶來了即時的財務(wù)壓力，并需要在勒索支付方面做出復(fù)雜的法律和道德決策。

為了給Oracle和受影響組織施加更大壓力，攻擊者在社交媒體平臺X(前身為Twitter)上建立了賬號，關(guān)注與Oracle相關(guān)的賬號，并準(zhǔn)備在勒索要求得不到滿足時提高此次泄露事件的公眾關(guān)注度。

這位使用“rose87168”昵稱的黑客在X上寫道：“受泄露事件影響的公司可以聯(lián)系我，以公開驗證其數(shù)據(jù)是否源自O(shè)racle云，我會將其從我的待售數(shù)據(jù)集中刪除?！?/p>

此次泄露事件可能影響到超過14萬家租戶，帶來了重大的供應(yīng)鏈影響，因為被盜的身份驗證機制可能會讓攻擊者能夠在相連的組織和系統(tǒng)之間切換。這種乘數(shù)效應(yīng)極大地擴大了潛在損害范圍，超出了最初泄露事件的影響。

建議的緩解措施

CloudSEK為可能受影響的組織概述了一套全面的應(yīng)對策略。

“首要任務(wù)是立即進行憑據(jù)輪換——重置所有LDAP用戶賬戶的密碼，尤其要關(guān)注特權(quán)賬戶，如租戶管理員賬戶，因為這些賬戶可跨系統(tǒng)提供廣泛訪問權(quán)限，”報告建議道。

安全團隊?wèi)?yīng)實施更強大的身份驗證控制，包括多因素身份驗證(MFA)和加強的密碼策略。這有助于減輕即使被盜加密密碼最終被攻擊者解密，也存在憑據(jù)復(fù)用風(fēng)險的問題。

報告還補充道，組織必須重新生成并替換所有受影響證書，包括與被盜LDAP配置相關(guān)聯(lián)的任何SSO、安全斷言標(biāo)記語言(SAML)或開放ID連接(OIDC)密鑰。這種加密衛(wèi)生對于恢復(fù)對身份驗證機制的信任至關(guān)重要。

CloudSEK在報告中表示：“此次攻擊的復(fù)雜性凸顯了在保護云環(huán)境方面持續(xù)面臨的挑戰(zhàn)，特別是在身份驗證系統(tǒng)方面。使用Oracle云服務(wù)的企業(yè)應(yīng)將其視為需要立即采取行動的重大安全事件，無論他們是否已收到直接泄露通知?！?/p>