🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
🚀 CloudSEK se torna a primeira empresa indiana de segurança cibernética a fazer parceria com o The Private Office
🚀 O CloudSEK aumentou Rodada da Série B1 de $19 milhões — Potencializando o futuro da cibersegurança preditiva
Voltar
Breach

O maior hack da cadeia de suprimentos de 2025:6 milhões de registros extraídos do Oracle Cloud afetando mais de 140 mil inquilinos

O CloudSEK descobre uma grande violação contra o Oracle Cloud, com 6 milhões de registros exfiltrados por meio de uma suspeita de vulnerabilidade não revelada. Mais de 140.000 inquilinos são afetados, pois o atacante exige resgate e comercializa dados confidenciais on-line. Conheça o escopo completo, os riscos e como responder. Você está preocupado que sua organização possa ser afetada? Verifique sua exposição aqui - https://exposure.cloudsek.com/oracle
March 21, 2025
3
min
Tabela de conteúdo
Exemplo H2
Exemplo H2

Sumário executivo

Em 21 de março de 2025, o xVigil da CloudSEK descobriu um agente de ameaças, “rose87168”, vendendo 6 milhões de registros extraídos do SSO e LDAP do Oracle Cloud. Os dados incluem arquivos JKS, senhas de SSO criptografadas, arquivos-chave e chaves JPS do Enterprise Manager.

O atacante, ativo desde janeiro de 2025, está incentivando a assistência de decodificação e exigindo pagamento pela remoção de dados de mais de 140 mil inquilinos afetados. Nosso envolvimento com o agente da ameaça sugere uma possível vulnerabilidade não revelada no login. (nome da região) .oraclecloud.com, levando ao acesso não autorizado. Embora o agente da ameaça não tenha histórico anterior, seus métodos indicam alta sofisticação, o CloudSEK avalia essa ameaça com confiança média e a classifica como alta em gravidade.

Verifique sua exposição aqui - https://exposure.cloudsek.com/oracle

LEIA TAMBÉM: Parte 2: Validando a violação negada pelo Oracle Cloud — Análise de acompanhamento do CloudSEK

Análise e atribuição

Informações do Post

O xVigil da CloudSEK descobriu o agente de ameaças “rose87168" vendendo 6 milhões de registros extraídos do SSO e LDAP do Oracle Cloud em 21 de março de 2025. O agente da ameaça afirma ter obtido acesso ao hackear o endpoint de login: login. (nome da região) .oraclecloud.com.

Ator de ameaças listando 6 milhões de registros extraídos do Oracle Cloud

  • O banco de dados inclui:
    • Aproximadamente 6 milhões de linhas de dados retiradas do SSO e do LDAP do Oracle Cloud, incluindo
      • arquivos JKS,
      • senhas de SSO criptografadas,
      • arquivos-chave,
      • chaves JPS do gerente corporativo.
  • Além disso, o agente da ameaça ofereceu um incentivo a qualquer pessoa que os ajudasse a descriptografar as senhas de SSO e/ou decifrar as senhas LDAP.
  • A lista de inquilinos afetados é de mais de 140 mil, e o agente da ameaça está pedindo às empresas que entrem em contato com eles e paguem uma certa “taxa” para que seus dados sejam removidos.
  • O agente da ameaça também criou uma página X e começou a seguir as páginas relacionadas à Oracle.

Captura de tela da lista de seguidores da conta X do agente de ameaças

Análise:

O agente da ameaça alegou ter comprometido o subdomínio login.us2.oraclecloud.com, que foi alegado ter sido removido desde o hack.

Captura de tela do arquivo de texto enviado pelo agente da ameaça no endpoint login.us2.oraclecloud.com

O subdomínio foi capturado na máquina wayback em 17 de fevereiro de 2025, o que sugere que ele estava hospedando o Oracle Fusion Middleware 11G.

Captura de tela do login.us2.oraclecloud.com na Wayback Machine

O servidor de middleware oracle fusion, que, de acordo com o fofa, foi atualizado pela última vez por volta de sábado, 27 de setembro de 2014. O middleware Oracle Fusion tinha uma vulnerabilidade crítica CVE-2021-35587 que afeta o Oracle Access Manager (OpenSSO Agent). Que foi adicionado ao CISA KEV (Known Exploited Vulnerabilities) em dezembro de 2022.

CVE-2021-35587: Vulnerabilidade no Oracle Access Manager (OpenSSO Agent)

Existe uma vulnerabilidade no componente Oracle Access Manager do Oracle Fusion Middleware (OpenSSO Agent). As versões afetadas são:

  • 11.1.2.3.0
  • 12.2.1.3.0
  • 12.2.1.4.0

Essa vulnerabilidade facilmente explorável permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Access Manager. A exploração bem-sucedida pode levar à aquisição completa do Oracle Access Manager.

Captura de tela do fofa mostrando o endpoint login.us2.oraclecloud.com


O ator da ameaça alegou que Computador Bleeping que eles comprometeram uma versão vulnerável dos servidores Oracle Cloud com um CVE público (falha) que atualmente não tem um PoC público ou uma exploração.

Como podemos ver na captura de tela mencionada acima, o endpoint de login foi atualizado pela última vez em 2014, de acordo com os resultados do FOFA. Consequentemente, começamos a procurar por CVEs mais antigos com alto impacto que afetasse a pilha de tecnologia. Nesse processo, encontramos um CVE mais antigo afetando o Oracle Fusion Middleware (CVE-2021-35587) que tem apenas um único exploit público conhecido.

Devido à falta de práticas de gerenciamento de patches e/ou codificação insegura, a vulnerabilidade no Oracle Fusion Middleware foi explorada pelo agente da ameaça. Essa vulnerabilidade facilmente explorável permite que um invasor não autenticado com acesso à rede via HTTP comprometa o Oracle Access Manager. Ataques bem-sucedidos dessa vulnerabilidade podem resultar na aquisição do Oracle Access Manager (OAM). Isso também se alinha às amostras que vazaram no Breachforums.

Atividade e classificação do ator de ameaças

Threat Actor Profiling
Active since Jan 2025
Reputation 0
Current Status ACTIVE
History A new user on the forum with no history of previous attacks. However, the samples and supporting information shared by the threat actor points towards a high sophistication.
Rating High

Impacto

  • Exposição de dados em massa: O comprometimento de 6 milhões de registros, incluindo dados confidenciais relacionados à autenticação, aumenta os riscos de acesso não autorizado e espionagem corporativa.
  • Comprometimento de credenciais: As senhas SSO e LDAP criptografadas, se quebradas, podem permitir novas violações nos ambientes do Oracle Cloud.
  • Extorsão e pedidos de resgate: O agente da ameaça está coagindo as empresas afetadas a pagar pela remoção de dados, aumentando os riscos financeiros e de reputação.
  • Exploração de dia zero: A suspeita de uso de uma vulnerabilidade de dia zero levanta preocupações sobre a segurança do Oracle Cloud e possíveis ataques futuros.
  • Riscos da cadeia de suprimentos: A exposição do JKS e dos principais arquivos pode permitir que os invasores interajam e comprometam vários sistemas corporativos interconectados.


Mitigação

  • Medidas de segurança imediatas
    • Redefinir senhas: redefina imediatamente as senhas de todas as contas de usuário LDAP comprometidas, concentrando-se principalmente em contas privilegiadas (por exemplo, administradores de locatários). Aplique políticas de senha fortes e MFA.
    • Atualize os hashes SASL: regenere os hashes SASL/MD5 ou migre para um método de autenticação mais seguro.
  • Rotação de credenciais em nível de inquilino
    • Entre em contato com o Suporte da Oracle imediatamente para alternar os identificadores específicos do locatário (por exemplo, orclmttenantguid ou clmttenantuname) e discutir as etapas de remediação necessárias.
  •  Regenerar certificados e segredos
    • Regenere e substitua quaisquer segredos ou certificados SSO/SAML/OIDC associados à configuração LDAP comprometida.
  • Auditoria e monitoramento
    • Revise os registros LDAP em busca de tentativas suspeitas de autenticação.
    • Investigue as atividades recentes da conta para detectar possíveis acessos não autorizados.
    • Implemente monitoramento contínuo para rastrear o acesso não autorizado e o comportamento anômalo.
  • Protocolos de segurança aprimorados
    • Rotação imediata de credenciais: alterne todas as credenciais SSO, LDAP e associadas, garantindo políticas de senha fortes e aplicando a Autenticação Multifator (MFA).
    • Resposta a incidentes e análise forense: conduza uma investigação abrangente para identificar possíveis acessos não autorizados e mitigar riscos adicionais.
    • Monitoramento de inteligência de ameaças: monitore continuamente os fóruns da dark web e de agentes de ameaças para discussões relacionadas aos dados vazados.
    • Interaja com a Oracle Security: relate o incidente à Oracle para verificar um possível ataque à cadeia de suprimentos e buscar patches ou mitigações.
    • Fortaleça os controles de acesso: implemente políticas de acesso rígidas, adote o princípio do menor privilégio e aprimore os mecanismos de registro para detectar anomalias e evitar futuras violações.

Referências

#Protocolo de semáforo - Wikipedia

CloudSEK TRIAD
CloudSEK Threat Research and Information Analytics Division
Nenhum item encontrado.

Blogs relacionados

Este é um texto dentro de um bloco div.
Breach
July 9, 2025
9
min
Além da violação: eliminando ruídos para se concentrar em ameaças reais
Leia mais
Este é um texto dentro de um bloco div.
Breach
April 29, 2025
5
min
Por dentro do incidente do BWSSB: como um arquivo de ambiente exposto permitiu a venda de mais de 290 mil registros de candidatos e acesso raiz ao banco de dados
Leia mais
Este é um texto dentro de um bloco div.
Breach
March 24, 2025
5
min
Parte 2: Validando a violação negada pelo Oracle Cloud — Análise de acompanhamento do CloudSEK
Leia mais