甲骨文公司披露了一起影響其舊版第一代服務器的數據泄露事件,這已是該公司在近期內報告的第二起網絡安全事件。這家總部位於美國得克薩斯州奧斯汀的跨國科技公司,在最初否認該事件後,向部分客戶承認,攻擊者在入侵了一個最後使用於2017年的“遺留環境”後,竊取了舊的客戶憑證。甲骨文已通知其客戶,網絡安全公司CrowdStrike和FBI目前正在對此次事件進行調查。
甲骨文雲的泄露細節:
網絡安全公司CybelAngel首先揭露,甲骨文告訴客戶,早在2025年1月,就有攻擊者訪問了公司的Gen 1服務器(也稱爲甲骨文雲經典版)。據報道,威脅行爲者利用了2020年的一個Java漏洞,部署了網頁外殼和額外的惡意軟件。
這次泄露事件於2月下旬被發現,據稱導致從甲骨文身份管理器(IDM)數據庫中導出了數據,包括用戶郵箱、哈希密碼和用戶名。3月20日,一個名爲rose87168的威脅行爲者在BreachForums上列出了600萬條數據記錄供出售,並分享了多個文本文件,其中包含樣本數據庫、LDAP信息和受影響公司列表,以證明其真實性。這些數據據稱是從甲骨文雲的聯合SSO登錄服務器中竊取的。據報告,泄露的數據包括用戶名、電子郵件地址、哈希密碼以及單點登錄(SSO)和輕量級目錄訪問協議(LDAP)等認證信息。此外,攻擊者還導出了Java密鑰庫(JKS)文件和企業管理器JPS密鑰。雖然沒有完整的個人身份信息(PII)被曝光,但甲骨文確認被盜數據大約已有16個月的歷史。
此次泄露事件是利用2020年的一個Java漏洞實施的,該漏洞使攻擊者能夠部署一個網頁外殼和針對甲骨文身份管理器(IDM)數據庫的惡意軟件。據報道,黑客早在2025年1月就訪問了該系統,直到2月下旬才被甲骨文公司發現並啓動內部調查,期間一直未被察覺。自那以後,甲骨文已通知受影響的客戶,並加強了其第一代服務器的安全措施。該公司向利益相關者保證,其第二代服務器未受影響,其主要的甲骨文雲基礎設施也未被攻破。然而,儘管有這些保證,網絡安全公司CybelAngel報告稱,甲骨文私下承認了此次泄露事件,並確認有未經授權的訪問發生在遺留系統中。
威脅行爲者:“rose87168”
黑客“rose87168”似乎是網絡犯罪領域中的一個新角色,他們在2025年3月創建了賬戶。他們的主要動機似乎是財務方面的,因爲他們向甲骨文索要2000萬美元的贖金。然而,他們還表示有興趣用竊取的數據交換零日漏洞,這表明他們有更廣泛的惡意意圖。爲了證實他們的主張,該威脅行爲者發佈了被盜數據的證據,包括樣本數據庫和LDAP憑證。安全研究人員已經驗證了這部分數據的一部分,進一步證實了此次泄露事件。甲骨文繼續否認此次事件,而且據網絡安全專家Kevin Beaumont稱,這家科技巨頭試圖對客戶隱瞞此事。即使在一個存檔URL顯示威脅行爲者已經將包含他們電子郵件地址的文件上傳到甲骨文服務器後,甲骨文仍然保持這一立場。雖然該URL後來從Archive.org(一個檔案庫)中刪除,但該檔案的存檔仍然存在。後來,通過與多家公司的確認,額外的泄露數據樣本——包括LDAP顯示名稱、電子郵件地址和其他識別細節——是有效的。
甲骨文一直否認其當前雲服務存在泄露報告,稱此次事件僅影響了較舊的甲骨文雲經典平臺。Kevin Beaumont指出:“甲骨文將舊的甲骨文雲服務重新命名爲甲骨文經典版。甲骨文經典版出現了安全事件。甲骨文通過限定範圍來否認‘甲骨文雲’存在問題——但它仍然是甲骨文管理的雲服務的一部分。這就是文字遊戲的一部分。”次泄露事件發生在另一起涉及甲骨文健康部門遺留的Cerner服務器的近期網絡安全事件之後,在那起事件中,美國醫療機構的患者數據遭到了泄露。儘管甲骨文堅稱這兩起事件沒有關聯,但它們發生的時間如此接近,導致人們對該公司整體的安全狀況進行了更加嚴格的審查。
此次泄露事件於2025年2月20日被檢測到,據報道,攻擊者在2025年1月22日之後的某個時間點,利用被泄露的客戶憑證訪問了遺留的Cerner數據遷移服務器。有消息來源顯示,受影響的醫院現在正受到一個名爲“Andrew”的威脅行爲者的勒索,該行爲者並未聲稱與任何勒索軟件或勒索組織有關聯。攻擊者要求支付數百萬加密貨幣,以防止數據被泄露或出售,甚至創建了公共網站來向醫院施壓,迫使其支付贖金。第一代服務器的泄露事件凸顯了尚未完全過渡到現代雲基礎設施的舊系統中存在的漏洞。專家警告,如果類似的弱點被利用,此類事件可能對企業安全和供應鏈構成重大風險。
甲骨文的迴應凸顯了大型企業在保護遺留系統的同時向新平臺過渡所面臨的挑戰。隨着調查的繼續,建議受影響的客戶重置憑證、監控可疑活動,並實施額外的安全措施。
原文来源:https://www.linkedin.com/pulse/oracle-confirms-major-data-breach-the-cyber-security-hub-bnnde
