Η Oracle αρνήθηκε την παραβίαση των διακομιστών SSO Login της Oracle Cloud και της κλοπής των δεδομένων λογαριασμού για έξι εκατομμύρια χρήστες. Ωστόσο, Αιμορραγία Έχει επαληθεύσει ότι πολλές εταιρείες επιβεβαιώνουν την εγκυρότητα των εικαζόμενων παραβιαζόμενων δειγμάτων δεδομένων.
Η παραβίαση αναφέρθηκε για πρώτη φορά από ένα άτομο με το όνομα Rose87168, ο οποίος ισχυρίστηκε ότι είχε πρόσβαση σε διακομιστές Oracle Cloud. Ο ηθοποιός απειλής άρχισε να πωλεί υποτιθέμενα δεδομένα ελέγχου ταυτότητας για 6 εκατομμύρια χρήστες, υποστηρίζοντας ότι θα αποκρυπτογραφηθούν οι κωδικοί πρόσβασης LDAP.
Τα συμβιβασμένα δεδομένα περιλαμβάνουν διευθύνσεις ηλεκτρονικού ταχυδρομείου, δεδομένα LDAP και κατάλογο 140.621 τομέων για εταιρείες και κυβερνητικές υπηρεσίες που επηρεάζονται από την παραβίαση. Ωστόσο, πολλοί από αυτούς τους τομείς μοιάζουν με δοκιμές και πολλαπλούς τομείς ανήκουν σε ορισμένες εταιρείες.
Ορισμένοι τομείς φαίνεται να είναι δοκιμές και υπάρχουν πολλαπλοί τομείς ανά εταιρεία.
Το Rose87168 παρείχε επίσης μια διεύθυνση URL Archive.org που οδηγεί σε ένα αρχείο κειμένου που τοποθετήθηκαν στο διακομιστή “login.us2.oraclecloud.com”. Αυτό απέδειξε την ικανότητα του χάκερ να δημιουργεί αρχεία στους διακομιστές της Oracle, γεγονός που υποστηρίζει την πιθανότητα παραβίασης.
Η Oracle, ωστόσο, έχει αντικρούσει τους ισχυρισμούς μιας παραβίασης παρά την επίδειξη επαλήθευσης δεδομένων από διάφορες εταιρείες.
Ορισμένες εισηγμένες εταιρείες έχουν επαληθεύσει την αυθεντικότητα του μέρους των δεδομένων, συμπεριλαμβανομένων των ονομάτων οθόνης LDAP και των διευθύνσεων ηλεκτρονικού ταχυδρομείου, επιβεβαιώνοντας ότι τα παραβιαζόμενα δεδομένα είναι έγκυρα.
Ένα από τα μηνύματα ηλεκτρονικού ταχυδρομείου που λαμβάνονται από Αιμορραγία Δείχνει τον ηθοποιό απειλής που έρχεται σε επαφή με την ομάδα ασφαλείας της Oracle σχετικά με τα δεδομένα τους. Αυτή η αλληλογραφία δείχνει ότι έφτασαν στην επιδιωκόμενη στόχευση.
Ο χάκερ είχε επικοινωνήσει με το ηλεκτρονικό ταχυδρομείο της Oracle Security ισχυριζόμενος ότι έλαβε δεδομένα λογαριασμού Oracle Cloud για έξι εκατομμύρια χρήστες.
Αιμορραγία Επίσης, έλαβε επικοινωνία που τους οδήγησε να πιστέψουν ότι η Oracle ασχολήθηκε περαιτέρω με τον ηθοποιό απειλής. Αυτό μπορεί να υποδηλώνει μια προσπάθεια αλληλεπίδρασης, αλλά δεν επεσήμανε ρητά στην πηγή.
Η εταιρεία Cybersecurity Cloudsek ανακάλυψε ότι ο διακομιστής Oracle Fusion Middleware 11G τρέχει μια παλαιότερη ευάλωτη έκδοση. Ο ηθοποιός απειλής ισχυρίστηκε ότι εκμεταλλεύτηκε μια ευπάθεια στο λογισμικό της Oracle, που παρακολουθείται ως CVE-2021-35587. Συνήθως, αυτό από τη διεύθυνση URL του Archive.org, τα τρωτά σημεία του λογισμικού μπορούν να εκθέσουν σφάλματα και παράγοντες απειλής.
Ο διακομιστής “login.us2.oraclecloud.com” λήφθηκε εκτός σύνδεσης από την Oracle λίγο μετά την εμφάνιση ειδήσεων για την υποτιθέμενη παραβίαση.
Η ειρωνεία εδώ είναι ότι η Oracle, ο τιτάν της ασφάλειας βάσεων δεδομένων, έχει αλιευθεί σε έναν ιστό άρνησης που ακόμη και οι πελάτες του επαληθεύουν.
Αυτή η ασυμφωνία υπογραμμίζει το αισθητό μυστήριο πίσω από την ασφάλεια στον κυβερνοχώρο: Τι συνιστά επαληθεύσιμη παραβίαση; Αυτό το Oracle παίρνει το διακομιστή εκτός σύνδεσης – ένας φαινομενικά συνηθισμένος διακομιστής, αλλά ένας που χρησιμοποιείται από τους κατηγορούμενους – καλύπτει μια σκόπιμη αλλά αντιφατική απάντηση.
Είναι κρίσιμο να αντιμετωπιστούν το γεγονός ότι πολλοί από αυτούς τους τομείς σημειώνονται ως δοκιμές και πολλαπλά ανήκουν στις ίδιες οντότητες, υποδηλώνοντας στους επιτιθέμενους είτε απλώς αποξήχθησαν πληροφορίες καταλόγου είτε βρήκαν έναν τρόπο να δημιουργήσουν πολλαπλούς υποτομείς με ψευδαίσθηση.
- Η εταιρεία Cybersecurity Cloudsek ανακαλυφθείς: Μια παλαιότερη ευάλωτη έκδοση του Oracle Fusion Middleware 11g τρέξιμο, ενδεχομένως εκμεταλλευόμενη από CVE-2021-35587.
Είναι επιτακτική ανάγκη να αμφισβητηθεί το χάσμα μεταξύ της ταχείας δράσης της Oracle για να καταργήσει έναν διακομιστή και την άμεση άρνηση οποιασδήποτε παραβίασης διατηρώντας παράλληλα τα κενά ανοιχτά για περαιτέρω διείσδυση. Αυτό προβάλλει ένα αυξανόμενο ζήτημα στην ασφάλεια στον κυβερνοχώρο, όπου οι εταιρείες πρέπει να αντιμετωπίσουν τον κίνδυνο που παρουσιάζεται από το ξεπερασμένο λογισμικό και άλλα τρωτά σημεία που αγνοούσαν πάρα πολύ καιρό.
Η βασική λήψη δεν είναι η άρνηση, αλλά η δέσμευση: Οι διαμετρημένες εκθέσεις δείχνουν ότι ο ηθοποιός απειλής έφτασε στην ομάδα ασφαλείας της Oracle με κλεμμένα δείγματα δεδομένων. Αυτή η αλληλεπίδραση λέει ότι οι αμυντικές στρατηγικές του Oracle χρειάζονται ολοκληρωμένη αναθεώρηση, συμπεριλαμβανομένης της ασφάλειας των διακομιστών και της αντιμετώπισης πιθανών τρωτών σημείων στο λογισμικό τους.
VIA: DataConomy.com
