Clientes de Oracle confirman que sí se filtraron datos por una intrusión en la nube

 (bleepingcomputer.com)
2 puntos por GN⁺ 2025-03-28 | 1 comentarios | Compartir por WhatsApp
  • Oracle negó la intrusión en el servidor de inicio de sesión SSO de Oracle Cloud y el robo de datos de 6 millones de cuentas, pero tras verificaciones con varias empresas se confirmó que la muestra de datos compartida por el actor de amenazas es válida.
  • Una persona identificada como 'rose87168' afirmó haber comprometido un servidor de Oracle Cloud y comenzó a vender datos de autenticación y contraseñas cifradas de 6 millones de usuarios. Este actor de amenazas asegura que puede descifrar las contraseñas SSO y LDAP robadas, y ofreció compartir los datos con quien pudiera ayudar a recuperarlas.
  • El actor de amenazas publicó varios archivos de texto que incluyen una base de datos, datos LDAP y una lista de 140,621 dominios de empresas y organismos gubernamentales presuntamente afectados por la intrusión. Algunos dominios de empresas parecen ser de prueba, y existen múltiples dominios por empresa.
  • El actor de amenazas compartió con BleepingComputer una URL de Archive.org de un archivo de texto alojado en el servidor "login.us2.oraclecloud.com". Este archivo indica que el actor podía crear archivos en un servidor de Oracle, lo que sugiere una intrusión real.
  • Sin embargo, Oracle sigue negando que haya habido una intrusión en Oracle Cloud y no respondió a más preguntas sobre el incidente. Oracle dijo a BleepingComputer: "No hubo ninguna intrusión en Oracle Cloud. Las credenciales publicadas no pertenecen a Oracle Cloud. Ningún cliente de Oracle Cloud experimentó una intrusión ni pérdida de datos".
  • Esta negativa contradice los hallazgos de BleepingComputer. BleepingComputer recibió muestras adicionales del actor de amenazas y contactó a las empresas involucradas para verificar la autenticidad de los datos. Representantes de compañías que confirmaron los datos bajo condición de anonimato indicaron que información identificatoria como nombres para mostrar de LDAP, direcciones de correo electrónico y nombres era correcta y les pertenecía.
  • El actor de amenazas compartió con BleepingComputer intercambios de correos electrónicos con Oracle. En uno de ellos, el actor reportó el hackeo del servidor al correo de seguridad de Oracle (secalert_us@oracle.com).
  • En otro intercambio de correos, el actor compartió una conversación con alguien que usaba una dirección de correo @proton.me de Oracle. BleepingComputer no pudo verificar la identidad asociada con esa dirección ni la autenticidad del intercambio, por lo que eliminó la dirección de correo.
  • La empresa de ciberseguridad Cloudsek encontró una URL de Archive.org que mostraba que el servidor "login.us2.oraclecloud.com" ejecutaba Oracle Fusion Middleware 11g al 17 de febrero de 2025. Oracle desconectó ese servidor después de que se reportó la noticia de la intrusión.
  • Esta versión del software estaba afectada por una vulnerabilidad rastreada como CVE-2021-35587, que puede permitir que un atacante no autenticado comprometa Oracle Access Manager. El actor de amenazas afirma que esta vulnerabilidad fue utilizada para comprometer el servidor de Oracle.
  • BleepingComputer envió múltiples correos a Oracle sobre esta información, pero no recibió respuesta.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-03-28
Opinión de Hacker News
  • BleepingComputer confirmó con varias empresas que la muestra de datos compartida por el actor de amenazas es válida
  • rose87168 compartió con BleepingComputer una URL de Archive.org que contiene un archivo de texto alojado en el servidor login.us2.oraclecloud.com. Este archivo indica que el actor de amenazas pudo crear archivos en un servidor de Oracle, lo que sugiere una intrusión real
  • Oracle debió haber reconocido la validez desde el principio
  • No hay castigos reales por una intrusión, y mentir puede causar un golpe de relaciones públicas peor que la intrusión en sí
  • Ya es bastante inquietante que Oracle alojara una puerta de enlace de inicio de sesión en un producto con una vulnerabilidad conocida desde 2021
  • Es típico de Oracle negar la intrusión a pesar de la evidencia obvia
  • Tengo curiosidad por la demografía de quienes usan los productos cloud de Oracle; las historias sobre ellos sugieren un sufrimiento a largo plazo
  • Este incidente no ayuda a aumentar la confianza en sus productos
  • Si hubieras operado Oracle, entenderías por qué no se aplicó el parche. No lo hacen fácil
  • El actor de amenazas afirma que recibió de alguien que usaba una dirección de correo @proton.me de Oracle el mensaje: "Recibí tu correo. Usemos este correo a partir de ahora. Avísame cuando lo recibas."
  • El correo electrónico es una de las fuentes que la mayoría de las empresas públicas deben conservar por cierto tiempo (¿7 años?). Probablemente fue un intento de evitar que quedara registro
  • Lamentablemente, las filtraciones de datos no afectan el precio de la acción. Es poco probable que las empresas que usan productos de Oracle migren de inmediato
  • Las ventas futuras podrían verse afectadas y algunas empresas pequeñas podrían migrar. Pero Oracle intentará minimizarlo al máximo
  • "Negar. Retrasar. Defender." no es solo un eslogan de los seguros de salud
  • Me pregunto si también se robaron datos de clientes de Oracle Opera Cloud y Oracle NetSuite Cloud. Muchos hoteles en todo el mundo usan Opera + NetSuite
  • Trabajé hace 10 años en uno de los 3 principales corredores de seguros cuando se introducían las pólizas de "ciber". Me pregunto quién suscribió la póliza de Oracle y cuánto costó en esa torre. ¿No tenían póliza? Ojalá el D&O pueda cubrir las demandas de los accionistas. Con la cercanía al gobierno, hay margen para interpretar las reglas
  • Tyler Technologies culpó a Judyrecords.com por exponer casos sellados en California y afirmó que fue una brecha de seguridad causada por su defectuoso sistema de ofuscación. Evadiendo responsabilidad
  • La regla n.º 1 de una intrusión es no escribir la palabra intrusión en un correo electrónico. Por eso supongo que lo discutieron fuera de su dominio
  • Me pregunto cuánto tiempo estuvo Oracle negándolo. ¿3 días?
  • Larry y Trump tienen una relación cercana. Oracle despedirá (o debería despedir) a los CISO de OCI y de SaaS