Parte 2: Validando a violação negada pelo Oracle Cloud — Análise de acompanhamento do CloudSEK

Sumário executivo

Introdução

Em 21 de março de 2025, um usuário chamado rosa 87168 postado no BreachForums, reivindicando acesso aos servidores de login do Oracle Cloud e oferecendo dados confidenciais, incluindo credenciais SSO e LDAP, chaves OAuth2 e informações do locatário do cliente para venda. O CloudSEK, com a ajuda do CloudSEK Nexus e do cyberHUMINT, foi o primeiro a verificar os dados e a autenticidade e a informar o público e nossos clientes. Como os dados alegados podem levar a ataques generalizados à cadeia de suprimentos, também publicamos um relatório da TLP Green alertando a comunidade. Também informamos a Oracle no mesmo dia enviando um relatório TLP RED. Também publicamos um ferramenta gratuita para verificar se sua organização estava na lista de vítimas compartilhada pelo atacante.

https://www.cloudsek.com/blog/the-biggest-supply-chain-hack-of-2025-6m-records-for-sale-exfiltrated-from-oracle-cloud-affecting-over-140k-tenants

A Oracle, mais tarde no mesmo dia, respondeu com uma negação categórica: “Não houve nenhuma violação do Oracle Cloud.”

https://www.cnbctv18.com/technology/oracle-cloud-data-breach-6-million-records-exposed-cloudsek-1957742.htm‍‍

Como fomos os primeiros a divulgar a ameaça, recebemos várias perguntas, que abordamos

O que é o CloudSEK?

Como pudemos analisar e verificar a autenticidade em pouco tempo?

Mais perguntas desse tipo na seção de perguntas frequentes

Acreditamos que houve falta de julgamento no final da Oracle e pretendemos publicar mais detalhes que ajudem a comunidade e a Oracle a investigar melhor o incidente. Na CloudSEK, acreditamos na transparência e na validação baseada em evidências — não para criar pânico, mas para permitir a preparação, o que temos feito nos últimos 10 anos.

ATUALIZAÇÃO - Verifique a seção de análise para obter informações atualizadas

Plano de fundo

Embora o agente da ameaça tenha conseguido compartilhar uma lista de exemplos de detalhes do cliente, ele também forneceu evidências do ataque ao fazer o upload de um arquivo criado em “login.us2.oraclecloud.com” e arquivando a URL pública, com o e-mail do atacante dentro do arquivo de texto.

‍

‍

O servidor, que parecia ser um serviço de SSO, estava ativo há aproximadamente 30 dias. Isso está de acordo com as alegações do agente da ameaça de que o servidor alvo foi retirado do ar pela Oracle algumas semanas antes da violação.

‍

‍

Análise

Informações da pesquisa

Nosso objetivo era verificar se o endpoint em questão era um ativo de produção legítimo do Oracle Cloud e se os inquilinos reais dos clientes estavam expostos em vez de apenas dados de teste.

Para chegar à conclusão, pesquisamos milhares de nossas fontes de inteligência para chegar às seguintes conclusões:

‍

Evidência #1: Propósito do login.us2.oraclecloud.com

1. Encontramos um repositório público do GitHub agora arquivado enviado pelo oracle-quickstart (que é a organização oficial da Oracle no Github) que menciona “login.us2.oraclecloud.com”.

Objetivo do roteiro:

1. Autenticação OAuth2 — O script usa”concessão de credenciais de cliente” para autenticar solicitações de API.
2. Geração de token — Ele envia uma solicitação POST para esse URL com client_id e secret_key (codificado em Base64).
3. Cabeçalho de autorização — O token de acesso retornado é então usado em solicitações de API como um token de portador.

O script dentro do repositório do GitHub, mpapihelper.py, faz referência direta a login.us2.oraclecloud.com para geração do token de acesso OAuth2.

‍

‍

‍

Posteriormente, o token seria usado para interagir com a API do Oracle Cloud Marketplace, que facilita o gerenciamento das listagens do mercado.

Evidência #2: Domínios de clientes reais corresponderam à lista de atacantes

• Múltiplo repositórios públicos do GitHub contêm credenciais ou configurações codificadas que apontam para login.us2.oraclecloud.com, incluindo:

‍

1: https://github.com/BhavaniPericherla/Selenium/blob/master/config.properties

‍

‍

• Domínio: sbgtv.com‍
• Status: Presente na lista de inquilinos compartilhada pelo TA

2: https://github.com/Ejazkhan42/React-UI/blob/9f0b5e36f34c80d514b72af27e9d6973ff3fedf1/queries.js#L284

‍

• Domínio: nexinfo.com‍
• Status: Presente na lista de inquilinos compartilhada pelo TA

3: https://pdfslide.net/embed/v1/manual-del-portal-de-proveedor-supplier-portal-manual-del-portal-de-proveedor.html [Agora inativo]

Contexto: Este documento serviu como uma referência detalhada sobre o portal de fornecedores de uma empresa. O documento instruiu os usuários a fazer login usando o endpoint Oracle Login (ehbm.login.us2.oraclecloud.com) em questão.

• Domínio: nucor-jfe.com‍
• Status: Presente na lista de inquilinos compartilhada pelo TA

4: https://github.com/juju/go-oracle-cloud/pull/1/commits/4200f51ee63563ab07bac3c038b29d294b6c81b8

‍

• Domínio: cloudbasesolutions.com‍
• Status: Presente na lista de inquilinos compartilhada pelo TA

5: Um documento usado como “Guia do usuário” para Oracle em rapid4cloud A CDN, que é a Gold Partner da Oracle, contém a URL do OAM na seção de solução de problemas.

• Domínio: rapid4cloud.com‍
• Status: Presente na lista de inquilinos compartilhada pelo TA

Evidência #3: “login.us2.oraclecloud.com” foi uma configuração de SSO de produção

1. O OneLogin, um provedor de soluções IAM, tem um artigo da base de conhecimento sobre o Oracle Fusion, demonstrando como configurar o OneLogin para fornecer SSO para o Oracle Fusion usando SAML.

‍

‍

2: A Rainfocus, uma parceira de implantação e migração da Oracle Cloud, tinha o seguinte arquivo em seu local na rede Internet.

‍

‍

Como podemos ver acima, o manual aconselha os usuários a fazer login no <identity-domain>.login.us2.oraclecloud.com/fed/idp/metadata para baixar os metadados do provedor de identidade, reforçando o fato de que <identity-domain>.login.us2.oraclecloud.com está sendo usado em ambientes de produção.

Impacto

• Exposição de dados em massa: O comprometimento de 6 milhões de registros, incluindo dados confidenciais relacionados à autenticação, aumenta os riscos de acesso não autorizado e espionagem corporativa.
• Comprometimento de credenciais: As senhas SSO e LDAP criptografadas, se quebradas, podem permitir novas violações nos ambientes do Oracle Cloud.
• Extorsão e pedidos de resgate: O agente da ameaça está coagindo as empresas afetadas a pagar pela remoção de dados, aumentando os riscos financeiros e de reputação.‍
• Riscos da cadeia de suprimentos: A exposição do JKS e dos principais arquivos pode permitir que os invasores interajam e comprometam vários sistemas corporativos interconectados.

Remediação

• Rotação imediata de credenciais: Altere todas as credenciais de SSO, LDAP e associadas, garantindo políticas de senha fortes e a aplicação de MFA.
• Resposta a incidentes e análise forense: Conduza uma investigação completa para identificar possíveis acessos não autorizados e mitigar riscos adicionais.
• Monitoramento de inteligência de ameaças: Acompanhe continuamente os fóruns da dark web e de agentes de ameaças para discussões relacionadas aos dados vazados.

PERGUNTAS FREQUENTES

O que é o CloudSEK?

A CloudSEK, fundada em 2015, é uma empresa de inteligência cibernética especializada em análise preditiva de ameaças, proteção digital de riscos, monitoramento de superfície de ataque e monitoramento da cadeia de suprimentos. Ajudamos organizações em todo o mundo a quantificar e priorizar ameaças cibernéticas para uma segurança robusta. Nossa base de clientes inclui pelo menos 10% das empresas da Fortune 500 que confiam em nossa inteligência contextual.

Na CloudSEK, nos diferenciamos ao nos concentrarmos na inteligência baseada em IAV em vez dos IOCs tradicionais. Nosso Abordagem do vetor de ataque inicial (IAV) evita ataques antes que eles ganhem uma posição inicial nas redes, identificando e mitigando possíveis pontos de entrada. Essa metodologia proativa ajuda as organizações a deter as ameaças no estágio inicial da cadeia de ataques.

Saiba mais sobre nós no Gartner Peer Insights -

https://www.gartner.com/reviews/market/security-threat-intelligence-products-and-services/vendor/cloudsek/product/cloudsek-xvigil

Como pudemos analisar e verificar a autenticidade em pouco tempo?

A análise acima leva apenas de 2 a 3 minutos na plataforma CloudSEK Nexus. O Nexus permite que os profissionais de segurança façam perguntas relacionadas aos seus ativos e ameaças, e examinaremos centenas de fontes, correlacionaremos e quantificaremos essas ameaças para você. Dê uma olhada em Nexo CloudSEK.

Poderia ser um servidor de desenvolvimento/teste com dados fictícios?

A: Embora alguns subdomínios contenham “-test”, os dados vinculados a esses ambientes envolvem domínios reais da empresa, interações do OAuth2 e credenciais de login. Além disso, os domínios correspondem aos da lista de agentes de ameaças, que inclui clientes conhecidos da Oracle. Isso torna improvável a teoria do “servidor de teste” como explicação completa.

O atacante poderia ter fabricado ou reutilizado esses dados?

A: Embora os invasores às vezes compilem dados de várias fontes, a presença de credenciais recentes e não indexadas e interações específicas com o servidor tornam isso altamente improvável. O upload de um arquivo para um endpoint de login ativo da Oracle confirma ainda mais o acesso não autorizado.

A CloudSEK está lançando o relatório e a análise completos e colaborará com a Oracle ou outros sobre isso?

A: A CloudSEK está divulgando partes importantes de sua análise e evidências verificadas de maneira responsável e ecológica para informar e proteger a comunidade em geral. No entanto, o conjunto de dados completo e os detalhes confidenciais não serão divulgados para evitar maiores explorações ou danos. Compartilhamos um relatório TLP-RED com a Oracle e continuamos abertos a trabalhar com a Oracle e outras partes interessadas relevantes para apoiar uma investigação completa e responsável sobre o incidente.

Referências

• *Fonte de inteligência e confiabilidade da informação - Wikipedia
• ^#Protocolo de semáforo - Wikipedia