08/04/25
Об этом сообщает издание The Register со ссылкой на источники, знакомые с ситуацией.
Первые сообщения о кибератаке появились в конце марта, когда пользователь с ником «rose87168» на одном из форумов заявил, что получил доступ к двум серверам авторизации клиентов Oracle и завладел примерно шестью миллионами записей. Среди похищенных данных упоминались закрытые ключи, зашифрованные учётные данные и записи LDAP. По утверждению злоумышленника, информация касалась тысяч организаций и была выставлена на продажу, передаёт Securitylab.
Изначально Oracle назвала утверждения ложными. Однако впоследствии несколько ИБ-специалистов проанализировали образцы опубликованных данных и подтвердили, что был скомпрометирован продукт Oracle Cloud Classic. По оценке, хакер воспользовался CVE-2021-35587 (оценка CVSS: 9.8) в компоненте Oracle Access Manager, который входит в состав Oracle Fusion Middleware. Как выяснилось, уязвимость оставалась не устранённой на серверах самой Oracle.
Кроме того, киберпреступник оставил текстовый файл с собственным email-адресом на одном из серверов login.us2.oraclecloud.com ещё в начале марта, что служит дополнительным подтверждением доступа.
На текущий момент как минимум два клиента Oracle сообщили, что компания связалась с ними для обсуждения инцидента и последствий кражи данных. В расследовании задействована компания CrowdStrike, однако она отказалась от комментариев и переадресовала запросы к Oracle. Также сообщается, что инцидентом заинтересовалось ФБР.
По информации Bloomberg, Oracle в частном порядке сообщила клиентам, что компрометация затронула устаревший сервер с данными восьмилетней давности, и похищенные учётные данные якобы уже утратили актуальность. Однако один из пострадавших клиентов заявил, что среди украденных данных фигурирует информация, актуальная по состоянию на 2024 год.
В связи с произошедшим в Техасе подан судебный иск против Oracle. Ожидается, что процесс раскрытия информации в рамках дела прольёт больше света на обстоятельства взлома. Также уточняется, что взлом не связан с другим инцидентом — атакой на Oracle Health, по поводу которой корпорация пока не делала официальных заявлений.
