Компания Oracle оказалась в центре внимания после заявления хакера под псевдонимом «rose87168» о крупной утечке данных, в ходе которой якобы были похищены около шести миллионов записей пользователей облачного сервиса. Угроза потенциально затронула до 140 тысяч арендаторов Oracle Cloud, пишет Securitylab.
Несмотря на серьёзность обвинений, вендор официально опроверг факт взлома и утечки информации, заявив об отсутствии каких-либо признаков нарушения безопасности своей инфраструктуры.
Тем не менее, по данным компании CloudSEK, киберпреступникам всё же удалось получить доступ к поддомену «login[.]us2[.]oraclecloud[.]com», на котором располагался Oracle Fusion Middleware 11G. Сейчас этот ресурс отключён, однако сохранённая копия из Wayback Machine от 17 февраля подтверждает его существование.
Среди потенциально похищенных файлов оказались JKS-файлы, содержащие криптографические ключи, зашифрованные пароли SSO, ключи LDAP, а также ключи JPS из Enterprise Manager. Согласно сообщениям CloudSEK, эти данные сейчас выставлены на продажу на форумах в даркнете, включая Breach Forums. Более того, злоумышленник требует выкуп от арендаторов за удаление их данных и предлагает бонусы тем, кто поможет в расшифровке украденных паролей.
Эксперты предполагают, что взлом был осуществлён через уязвимость CVE-2021-35587 , затрагивающую Oracle Access Manager, входящий в состав Fusion Middleware. Она позволяет неавторизованному злоумышленнику получить контроль над системой через HTTP-доступ.
В зону риска попадают версии ПО 11.1.2.3.0, 12.2.1.3.0 и 12.2.1.4.0. Уязвимость была включена в каталог CISA KEV в декабре 2022 года. В данном случае особое внимание привлекла дата последнего обновления атакуемого сервера — 27 сентября 2014 года, что свидетельствует об использовании устаревшего и уязвимого ПО.
CloudSEK подчёркивает, что проблема могла возникнуть из-за отсутствия должной практики управления патчами и небезопасной архитектуры приложения. Такие уязвимости позволяют злоумышленникам проникать в систему без аутентификации и распространяться по внутренней инфраструктуре облачной платформы.
Тем временем, Oracle категорически отрицает сам факт инцидента. По словам компании, опубликованные учётные данные не имеют отношения к их облачной платформе, а среди клиентов Oracle Cloud не зафиксировано ни одной утечки. Таким образом, заявления компании расходятся как с утверждениями хакера, так и с результатами анализа CloudSEK.
Если утечка действительно произошла, последствия могут оказаться масштабными. Похищенные JKS-файлы, содержащие криптографические ключи, представляют особую опасность — они могут быть использованы для дешифровки конфиденциальной информации и вторичного доступа к системам. Компрометация SSO и LDAP-паролей также повышает риск каскадных атак на организации, использующие Oracle Cloud.
CloudSEK рекомендует провести немедленную смену учётных данных, полный анализ инцидента с привлечением специалистов по информационной безопасности, а также усилить мониторинг и контроль доступа. Организациям также советуют взаимодействовать напрямую с Oracle для проверки возможной компрометации и своевременного реагирования на инцидент.