Хотя компания Oracle отрицает факт взлома федеративных SSO-логин-серверов Oracle Cloud и кражи данных 6 млн клиентов, СМИ сообщают, что в нескольких компаниях уже подтверждена древность образцов данных, предоставленных злоумышленником.
Напомним, что на прошлой неделе злоумышленник под именем Rose87168 опубликовал на хакерском форуме BreachForums данные, предоставленные Oracle Cloud. Хакер написал, что готов продать данные или обменять их на эксплоиты 0-day, а также предложил поделиться частью информации с теми, кто поможет ему расшифровать пароли SSO или взломать пароли LDAP.
Их заявления rose87168 подкрепили публикацию нескольких текстовых файлов с образцами данных из БД и информации LDAP, а также списками из 140 621 домена, которые являются официальными компаниями, обвиняемыми в результате ликвидации.
По словам хакера, данные были украдены во время взлома серверов входа в систему.(название-региона).oraclecloud.com и включают зашифрованные пароли SSO, файлы Java Keystore (JKS), ключи файлов и ключи JPS для менеджера предприятия.
В качестве дополнительных доказательств доступа к серверам Oracle Cloud, злоумышленник помог изданию Bleeping Computer. Эта ссылка на Интернет-архив показывает, что Rose87168 смогла загрузить текстовый файл с адресом электронной почты ProtonMail на сервере login.us2.oraclecloud.com. То есть хакер может создавать файлы на сервере Oracle.
Специалисты компании Cloudsek сообщили, что еще 17 февраля 2025 года сервер login.us2.oraclecloud.com работал на Oracle Fusion Middleware 11g. После того, как стало известно о предполагаемом взломе, Oracle отключил этот сервер.
Дело в том, что эта версия изменена уязвимости CVE-2021-35587 , которая позволяет неавторизованным лицам скомпрометировать Oracle Access Manager.
Однако на прошлой неделе представители Oracle заявили СМИ, что никаких взломов не было.
В новом издании Bleeping Computer этот злоумышленник включил дополнительные фрагменты украденных данных, связался с фигурирующими файлами в файлах потоков, и там были взломаны файлы.
Представители компаний, согласившиеся проверить данные на условиях анонимности, подтвердили издание первобытности информации Rose87168. В компаниях заявили, что они связаны с именами LDAP, адресами электронной почты и другой информацией, верны и действительно принадлежат им.
Кроме того, злоумышленник поделился с электронными письмами Bleeping Computer, а мир, как он предполагал, рассчитывался с дисплеем Oracle. В одном из писем хакер написал на адрес secalert_us@oracle.com и сообщил о взломе серверов.
Хотя представители Bleeping Computer неоднократно пытались связаться с Oracle, ответа от компании журналисты не получили.
@xakep.ru
Напомним, что на прошлой неделе злоумышленник под именем Rose87168 опубликовал на хакерском форуме BreachForums данные, предоставленные Oracle Cloud. Хакер написал, что готов продать данные или обменять их на эксплоиты 0-day, а также предложил поделиться частью информации с теми, кто поможет ему расшифровать пароли SSO или взломать пароли LDAP.
Их заявления rose87168 подкрепили публикацию нескольких текстовых файлов с образцами данных из БД и информации LDAP, а также списками из 140 621 домена, которые являются официальными компаниями, обвиняемыми в результате ликвидации.
По словам хакера, данные были украдены во время взлома серверов входа в систему.(название-региона).oraclecloud.com и включают зашифрованные пароли SSO, файлы Java Keystore (JKS), ключи файлов и ключи JPS для менеджера предприятия.
В качестве дополнительных доказательств доступа к серверам Oracle Cloud, злоумышленник помог изданию Bleeping Computer. Эта ссылка на Интернет-архив показывает, что Rose87168 смогла загрузить текстовый файл с адресом электронной почты ProtonMail на сервере login.us2.oraclecloud.com. То есть хакер может создавать файлы на сервере Oracle.
Специалисты компании Cloudsek сообщили, что еще 17 февраля 2025 года сервер login.us2.oraclecloud.com работал на Oracle Fusion Middleware 11g. После того, как стало известно о предполагаемом взломе, Oracle отключил этот сервер.
Дело в том, что эта версия изменена уязвимости CVE-2021-35587 , которая позволяет неавторизованным лицам скомпрометировать Oracle Access Manager.
Однако на прошлой неделе представители Oracle заявили СМИ, что никаких взломов не было.
| «Взлома Oracle Cloud не было. Опубликованные учетные данные не связаны с Oracle Cloud. Ни один из клиентов Oracle Cloud не пострадал от кибератаки или утечки данных», — утверждают в компании. |
Представители компаний, согласившиеся проверить данные на условиях анонимности, подтвердили издание первобытности информации Rose87168. В компаниях заявили, что они связаны с именами LDAP, адресами электронной почты и другой информацией, верны и действительно принадлежат им.
Кроме того, злоумышленник поделился с электронными письмами Bleeping Computer, а мир, как он предполагал, рассчитывался с дисплеем Oracle. В одном из писем хакер написал на адрес secalert_us@oracle.com и сообщил о взломе серверов.
| «Я попал в инфраструктуру вашей облачной панели управления и обнаружил гигантскую уязвимость, благодаря которой получил полный доступ к информации о 6 млн пользователей», — заявилrose87168. |
@xakep.ru