近期,据CloudSEK的XVigil平台调查,一名名为‘rose87168’的威胁者攻击了Oracle云服务,窃取了六百万条记录,可能影响超过14万租户。被窃取的数据包括JKS文件、加密的SSO密码、密钥文件和企业管理器JPS密钥等敏感信息,这些信息正在Breach Forums和其他暗网论坛上被出售。
该攻击者自2025年1月起活跃,声称入侵了Oracle Cloud的一个子域login.us2.oraclecloud.com,该子域已被关闭。据Wayback Machine在2025年2月17日的记录,该子域运行着Oracle融合中间件11G。攻击者要求受影响的租户支付赎金以删除数据,并提供激励措施,以协助解密被盗的SSO和LDAP密码。
CloudSEK的分析表明,攻击者可能利用了Oracle Cloud服务器的一个易受攻击版本,可能是较旧的漏洞CVE-2021-35587,该漏洞影响Oracle融合中间件(OpenSSO代理),受影响的版本包括11.1.2.3.0、12.2.1.3.0和12.2.1.4.0。此漏洞于2022年12月被添加到CISA KEV目录中,允许未认证的攻击者入侵Oracle访问管理器,可能导致系统被完全接管。这与攻击者窃取和共享的数据类型相符。利用此漏洞,攻击者可能获得环境的初始访问权限,然后在Oracle云环境中横向移动以访问其他系统和数据。进一步调查发现,Oracle融合中间件服务器最后一次更新是在2014年9月27日左右,软件已过时。
然而,Oracle发表声明否认其云基础设施遭到入侵,称“没有Oracle云的入侵。发布的凭据不是用于Oracle云。没有Oracle云客户遭受入侵或丢失任何数据”,这与CloudSEK的发现和攻击者的说法相矛盾。
如果此次入侵确实发生,其影响将极为严重。六百万条记录的暴露增加了未经授权访问和企业间谍活动的风险。JKS文件的窃取尤为令人担忧,因为这些文件包含加密密钥,可用于解密敏感数据或访问受影响组织内的其他系统。
