2025年3月21日,CloudSEK的XVigil发现了一个名为“rose87168”的威胁行为者,正在出售从Oracle Cloud的SSO和LDAP中泄露的600万条记录。数据包括JKS文件、加密的SSO密码、密钥文件和企业管理器JPS密钥。
攻击者自2025年1月以来活跃,正在鼓励解密协助,并要求对超过14万名受影响租户的数据删除进行付款。我们与该威胁行为者的接触表明,(region-name).oraclecloud.com上可能存在未公开的漏洞,导致未经授权的访问。尽管该威胁行为者没有先前的历史记录,但他们的方法表明高度复杂性,CloudSEK以中等可信度评估此威胁,并将其严重性评级为高。
CloudSEK的XVigil发现威胁行为者“rose87168”在2025年3月21日出售从Oracle Cloud的SSO和LDAP提取的600万条记录。该威胁行为者声称通过黑客攻击登录端点: login.(region-name).oraclecloud.com 获得了访问权限。
自查
目前CloudSEK提供了一个网站用于自查是否受到了此次泄露事件的影响
根据tg群佬友提供的信息,查到了自己的数据,并且公司的云也被影响。
弗洛伊德的分析
我阅读完了完整的报告,基于以下两点,初步判断为此次泄露事件大概率为真
- 检测网站中确实查到了泄露的数据
- 样本真实度很高
我查看了声称被攻击的子域名的缓存,可以看到攻击者挂了黑页
url: https://web.archive.org/web/20250301161517/https://login.us2.oraclecloud.com/oamfed/x.txt?x
甲骨文的回应(截止到北京时间3/23发帖时)
感谢评论区的 @WABC 佬友提供的信息
甲骨文否认了该泄露事件,认为
“甲骨文云没有被入侵。所公布的凭证并非针对甲骨文云。没有任何甲骨文云客户遭遇漏洞或丢失任何数据”。
- 黑客的说法是虚假的或夸大的
- 漏洞源于一个与甲骨文云交互的第三方系统,但该系统不属于甲骨文云的核心基础设施。
后续
有后续的新消息我会再更新。
截止到目前为止,我公司没有收到甲骨文的任何致函。
