Την Τετάρτη, η CISA προειδοποίησε για αυξημένους κινδύνους παραβίασης μετά τον συμβιβασμό των διακομιστών της Oracle Cloud της Legacy νωρίτερα αυτό το έτος και υπογράμμισε τη σημαντική απειλή για τα επιχειρηματικά δίκτυα.
Είπε η CISA“Η φύση της αναφερόμενης δραστηριότητας παρουσιάζει πιθανό κίνδυνο για τους οργανισμούς και τα άτομα, ιδιαίτερα όταν το υλικό διαπιστευτηρίων μπορεί να εκτεθεί, να επαναχρησιμοποιηθεί σε ξεχωριστά, μη συνδεδεμένα συστήματα ή να ενσωματωθούν (δηλαδή σκληρά κωδικοποιημένα σε σενάρια, εφαρμογές, πρότυπα υποδομής ή εργαλεία αυτοματοποίησης),” Ακόμα κι αν “ο επιπτώσεις παραμένει ανεπιβεβαίωτος”.
“Όταν το υλικό διαπιστευτηρίων είναι ενσωματωμένο, είναι δύσκολο να ανακαλυφθεί και μπορεί να επιτρέψει τη μακροπρόθεσμη μη εξουσιοδοτημένη πρόσβαση εάν εκτεθεί.
Ο Οργανισμός Κυβερνοχώρων των ΗΠΑ δημοσίευσε επίσης οδηγίες για να μετριάσει τους κινδύνους που συνδέονται με την προκύπτουσα διαρροή διαπιστευτηρίων, προτρέποντας τους υπερασπιστές του δικτύου να επαναφέρουν τους κωδικούς πρόσβασης των προσβεβλημένων χρηστών, να αντικαταστήσουν την ύποπτη ή ενσωματωμένα διαπιστευτήρια με ασφαλείς μεθόδους ελέγχου ταυτότητας, να επιβάλλουν ανθεκτικές στο phishing multi-factor authentication (MFA) όπου είναι δυνατόν και να ορίζουν τα αρχεία ελέγχου ταυτότητας για την ύποπτη δραστηριότητα.
Αυτή η προειδοποίηση έρχεται μετά την επιβεβαίωση της Oracle στις ειδοποιήσεις ηλεκτρονικού ταχυδρομείου που αποστέλλονται στους πελάτες ότι ένας ηθοποιός απειλής διαρρέει τα διαπιστευτήρια που κλέφθηκαν από αυτό που η εταιρεία περιέγραψε ως “δύο παρωχημένους διακομιστές”.
Ωστόσο, η Oracle πρόσθεσε ότι οι διακομιστές του Oracle Cloud δεν διακυβεύονταν και το περιστατικό δεν επηρέασε τις υπηρεσίες cloud ή τα δεδομένα των πελατών του.
Η Oracle επίσης αναγνωρίστηκε ιδιωτικά σε κλήσεις με ορισμένους από τους πελάτες της που οι επιτιθέμενοι έκλεψαν τα παλαιά διαπιστευτήρια πελατών μετά από παραβίαση ενός “κληρονομιοποιημένου περιβάλλοντος” που χρησιμοποιήθηκε για τελευταία φορά το 2017, ωστόσο, ο χάκερ πίσω από την παραβίαση δημοσίευσε νεότερα αρχεία από το 2025 σε παραβιάσεις και κοινά στοιχεία με τον Bleepompomputer από το τέλος του 2024.
Ο BleepingComputer έχει επιβεβαιωθεί χωριστά με πολλαπλούς πελάτες της Oracle που διαρρέουν δείγματα δεδομένων (συμπεριλαμβανομένων των σχετικών ονομάτων οθόνης LDAP, των διευθύνσεων ηλεκτρονικού ταχυδρομείου, των ονομάτων και άλλων πληροφοριών ταυτοποίησης που έλαβαν ο ηθοποιός απειλής.
Στα τέλη Μαρτίου, η εταιρεία ασφάλειας στον κυβερνοχώρο Κυανάγγελος Επίσης, αποκάλυψε ότι η Oracle δήλωσε στους πελάτες ότι ένας εισβολέας ανέπτυξε ένα κέλυφος ιστού και πρόσθετο κακόβουλο λογισμικό σε μερικούς από τους διακομιστές Gen 1 (γνωστού ως Oracle Cloud Classic) ήδη από τον Ιανουάριο του 2025.
Μέχρι να εντοπιστεί η παραβίαση στα τέλη Φεβρουαρίου, ο εισβολέας φέρεται να έκλεψε δεδομένα από τη βάση δεδομένων Oracle Identity Manager (IDM), η οποία περιελάμβανε κωδικούς πρόσβασης, ονόματα χρήστη και ηλεκτρονικά μηνύματα χρήστη.
Τον περασμένο μήνα, ο BleepingComputer ανέφερε για πρώτη φορά ότι η Oracle εξέδωσε επίσης ιδιωτικές ειδοποιήσεις πελατών σχετικά με μια άλλη παραβίαση του Ιανουαρίου στην Oracle Health (μια εταιρεία SaaS που ήταν γνωστή ως CERNER) που επηρέασε τα δεδομένα των ασθενών σε πολλούς οργανισμούς υγειονομικής περίθαλψης και νοσοκομεία των ΗΠΑ.
VIA: bleepingcomputer.com
