🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
في 21 مارس 2025، أشارت منصة xviGil التابعة لـ CloudSek إلى وجود تهديد كبير - ممثل تهديد يعرض 6 ملايين سجل تم تسريبه من Oracle Cloud للبيع. على الرغم من إنكار Oracle العلني، يكشف تحقيقنا المتعمق عن نقطة نهاية SSO للإنتاج المخترقة، مما أثر على أكثر من 140,000 مستأجر وكشف بيانات SSO وLDAP الحساسة. يوضح تقريرنا الأدلة التي تم التحقق منها على الخرق. في CloudSek، نعطي الأولوية للشفافية والاستعداد. لا تتحدى هذه المتابعة التفصيلية حالات الرفض الأولية فحسب، بل تزود الشركات بخطوات عملية لتقييم بيئاتها وتأمينها. اقرأ التقرير الكامل للكشف عن الأدلة وفهم التأثير وتقوية دفاعاتك.
قم بحماية مؤسستك من التهديدات الخارجية مثل تسرب البيانات وتهديدات العلامة التجارية والتهديدات الناشئة عن الويب المظلم والمزيد. حدد موعدًا لعرض تجريبي اليوم!
Schedule a Demoفي 21 مارس 2025، قام مستخدم باسم روز87168 تم النشر على BreachForums، مدعيًا الوصول إلى خوادم تسجيل الدخول إلى Oracle Cloud وتقديم بيانات حساسة بما في ذلك بيانات اعتماد SSO و LDAP ومفاتيح OAuth2 ومعلومات العميل المستأجر للبيع. كان CloudSek بمساعدة CloudSek Nexus وسيبر HUMINT أول من تحقق من البيانات والأصالة وأبلغ الجمهور وعملائنا. نظرًا لأن البيانات المزعومة قد تؤدي إلى هجمات واسعة النطاق على سلسلة التوريد، فقد نشرنا أيضًا تقرير TLP Green لتحذير المجتمع. كما قمنا بإبلاغ Oracle في نفس اليوم عن طريق إرسال تقرير TLP RED. لقد نشرنا أيضًا أداة مجانية للتحقق مما إذا كانت مؤسستك مدرجة في قائمة الضحايا التي شاركها المهاجم.
ردت Oracle، في وقت لاحق من نفس اليوم، بنفي قاطع: «لم يحدث أي خرق لـ Oracle Cloud.»
منذ أن كشفنا عن التهديد لأول مرة، حصلنا على العديد من الأسئلة التي قمنا بتغطيتها
ما هو كلاودسك؟
كيف تمكنا من تحليل الأصالة والتحقق منها في وقت قصير؟
المزيد من هذه الأسئلة في قسم الأسئلة الشائعة
نعتقد أنه كان هناك نقص في الحكم في نهاية Oracle، ونعتزم نشر المزيد من التفاصيل التي من شأنها مساعدة المجتمع وOracle على التحقيق في الحادث بشكل أفضل. في CloudSek، نؤمن بالشفافية والتحقق القائم على الأدلة - ليس لإثارة الذعر ولكن لتمكين التأهب، وهو ما كنا نفعله على مدار السنوات العشر الماضية.
تحديث - يرجى مراجعة قسم التحليل للحصول على معلومات محدثة
وبينما كان الفاعل المسؤول عن التهديد قادرًا على مشاركة عينة من قائمة تفاصيل العملاء، قدم ممثل التهديد أيضًا دليلًا على الهجوم عن طريق تحميل ملف تم إنشاؤه على «login.us2.oraclecloud.com» وأرشفة عنوان URL العام، مع البريد الإلكتروني للمهاجم داخل الملف النصي.
كان الخادم، الذي بدا أنه خدمة SSO، نشطًا منذ حوالي 30 يومًا. يتماشى هذا مع ادعاءات ممثل التهديد بأن الخادم المستهدف قد تمت إزالته بواسطة Oracle قبل أسابيع قليلة من الاختراق.
كان هدفنا التحقق مما إذا كانت نقطة النهاية المعنية تمثل أحد أصول إنتاج Oracle Cloud المشروعة، وما إذا كان المستأجرون الحقيقيون من العملاء قد تعرضوا للخطر بدلاً من مجرد اختبار البيانات.
لتشكيل الاستنتاج، بحثنا عن الآلاف من مصادر استخباراتنا للتوصل إلى الاستنتاجات التالية:
الغرض من البرنامج النصي:
البرنامج النصي داخل مستودع GitHub، mpapihelper.py، يشير مباشرةً إلى login.us2.oraclecloud.com لإنشاء رمز الوصول إلى OAuth2.
سيتم استخدام الرمز المميز لاحقًا للتفاعل مع واجهة برمجة تطبيقات Oracle Cloud Marketplace التي تسهل إدارة قوائم السوق.
1: https://github.com/BhavaniPericherla/Selenium/blob/master/config.properties
2: https://github.com/Ejazkhan42/React-UI/blob/9f0b5e36f34c80d514b72af27e9d6973ff3fedf1/queries.js#L284
3: https://pdfslide.net/embed/v1/manual-del-portal-de-proveedor-supplier-portal-manual-del-portal-de-proveedor.html [غير نشط الآن]
السياق: كانت هذه الوثيقة بمثابة مرجع مفصل حول بوابة موردي الشركة. طلبت الوثيقة من المستخدمين تسجيل الدخول باستخدام نقطة نهاية تسجيل الدخول إلى Oracle (ehbm.login.us2.oraclecloud.com) المعنية.
4: https://github.com/juju/go-oracle-cloud/pull/1/commits/4200f51ee63563ab07bac3c038b29d294b6c81b8
5: مستند يُستخدم كـ «دليل مستخدم» لـ Oracle على رابيد فور كلاود تحتوي CDN، وهي الشريك الذهبي لشركة Oracle، على عنوان URL الخاص بـ OAM في قسم استكشاف الأخطاء وإصلاحها.
2: كان لدى Rainfocus، أحد شركاء النشر والترحيل في Oracle Cloud، الملف التالي على الجهاز الموقع الإلكتروني.
كما نرى أعلاه، ينصح الدليل المستخدمين بتسجيل الدخول إلى <identity-domain>.login.us2.oraclecloud.com/fed/idp/البيانات الوصفية لتنزيل البيانات الوصفية لمزود الهوية، مما يعزز حقيقة أن <identity-domain>. تسجيل الدخول. us2. oraclecloud.com يتم استخدامه في بيئات الإنتاج.
ما هو كلاودسك؟
CloudSek، التي تأسست في عام 2015، هي شركة استخبارات إلكترونية متخصصة في تحليلات التهديدات التنبؤية، وحماية المخاطر الرقمية، ومراقبة سطح الهجوم، ومراقبة سلسلة التوريد. نحن نساعد المؤسسات في جميع أنحاء العالم على تحديد التهديدات الإلكترونية وتحديد أولوياتها من أجل الأمان القوي. تشمل قاعدة عملائنا ما لا يقل عن 10٪ من شركات Fortune 500 التي تعتمد على ذكائنا السياقي.
في CloudSek، نميز أنفسنا من خلال التركيز على الذكاء القائم على IAV بدلاً من IOC التقليدية. لدينا نهج متجه الهجوم الأولي (IAV) تمنع الهجمات قبل أن تكتسب موطئ قدم أولي في الشبكات من خلال تحديد نقاط الدخول المحتملة والتخفيف من حدتها. تساعد هذه المنهجية الاستباقية المؤسسات على إيقاف التهديدات في المرحلة الأولى من سلسلة الهجوم.
المزيد عنا على موقع جارتنر بير إنسايتس -
كيف تمكنا من تحليل الأصالة والتحقق منها في وقت قصير؟
يستغرق التحليل أعلاه 2-3 دقائق فقط على منصة CloudSek Nexus. تسمح Nexus لمحترفي الأمن بطرح أي أسئلة تتعلق بأصولك وتهديداتك وسنقوم بفحص مئات المصادر وربطها وتحديد مقدار هذه التهديدات نيابة عنك. ألق نظرة على كلاودسك نيكسوس.
هل يمكن أن يكون هذا خادم تطوير/اختبار ببيانات وهمية؟
أ: بينما تحتوي بعض النطاقات الفرعية على «-test»، فإن البيانات المرتبطة بهذه البيئات تتضمن نطاقات الشركة الحقيقية وتفاعلات OAuth2 وبيانات اعتماد تسجيل الدخول. علاوة على ذلك، تتطابق النطاقات مع تلك الموجودة في قائمة الجهات الفاعلة في مجال التهديد، والتي تشمل عملاء Oracle المعروفين. هذا يجعل نظرية «خادم الاختبار» غير محتملة كتفسير كامل.
هل يمكن للمهاجم تصنيع هذه البيانات أو إعادة استخدامها؟
أ: في حين يقوم المهاجمون أحيانًا بتجميع البيانات من مصادر متعددة، فإن وجود بيانات اعتماد حديثة غير مفهرسة وتفاعلات خادم محددة يجعل هذا الأمر مستبعدًا للغاية. يؤدي تحميل ملف إلى نقطة نهاية تسجيل دخول Oracle المباشرة إلى تأكيد الوصول غير المصرح به.
هل ستصدر CloudSek التقرير الكامل والتحليل، وهل ستتعاون مع Oracle أو غيرها في هذا الشأن؟
أ: تقوم CloudSek بإصدار أجزاء رئيسية من تحليلها والأدلة التي تم التحقق منها بطريقة TLP-GREEN مسؤولة لإعلام المجتمع الأوسع وحمايته. ومع ذلك، لن يتم نشر مجموعة البيانات الكاملة والتفاصيل الحساسة لتجنب المزيد من الاستغلال أو الضرر. لقد شاركنا تقرير TLP-RED مع Oracle ونظل منفتحين على العمل مع Oracle وأصحاب المصلحة الآخرين ذوي الصلة لدعم تحقيق شامل ومسؤول في الحادث.
Take action now
CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.
Digital Risk Protection platform which gives Initial Attack Vector Protection for employees and customers.
Software and Supply chain Monitoring providing Initial Attack Vector Protection for Software Supply Chain risks.
Creates a blueprint of an organization's external attack surface including the core infrastructure and the software components.
Instant Security Score for any Android Mobile App on your phone. Search for any app to get an instant risk score.