Взлом через HTTP-доступ: хакер rose87168 шантажирует клиентов Oracle
Компания уверяет в безопасности, но следы взлома говорят об обратном.
Компания Oracle оказалась в центре внимания после заявления хакера под псевдонимом «rose87168» о крупной утечке данных, в ходе которой якобы были похищены около шести миллионов записей пользователей облачного сервиса. Угроза потенциально затронула до 140 тысяч арендаторов Oracle Cloud.
Несмотря на серьёзность обвинений, вендор официально опроверг факт взлома и утечки информации, заявив об отсутствии каких-либо признаков нарушения безопасности своей инфраструктуры.
Тем не менее, по данным компании CloudSEK, киберпреступникам всё же удалось получить доступ к поддомену «login[.]us2[.]oraclecloud[.]com», на котором располагался Oracle Fusion Middleware 11G. Сейчас этот ресурс отключён, однако сохранённая копия из Wayback Machine от 17 февраля подтверждает его существование.
Среди потенциально похищенных файлов оказались JKS-файлы, содержащие криптографические ключи, зашифрованные пароли SSO, ключи LDAP, а также ключи JPS из Enterprise Manager. Согласно сообщениям CloudSEK, эти данные сейчас выставлены на продажу на форумах в даркнете, включая Breach Forums. Более того, злоумышленник требует выкуп от арендаторов за удаление их данных и предлагает бонусы тем, кто поможет в расшифровке украденных паролей.
Эксперты предполагают, что взлом был осуществлён через уязвимость CVE-2021-35587 , затрагивающую Oracle Access Manager, входящий в состав Fusion Middleware. Она позволяет неавторизованному злоумышленнику получить контроль над системой через HTTP-доступ.
В зону риска попадают версии ПО 11.1.2.3.0, 12.2.1.3.0 и 12.2.1.4.0. Уязвимость была включена в каталог CISA KEV в декабре 2022 года. В данном случае особое внимание привлекла дата последнего обновления атакуемого сервера — 27 сентября 2014 года, что свидетельствует об использовании устаревшего и уязвимого ПО.
CloudSEK подчёркивает, что проблема могла возникнуть из-за отсутствия должной практики управления патчами и небезопасной архитектуры приложения. Такие уязвимости позволяют злоумышленникам проникать в систему без аутентификации и распространяться по внутренней инфраструктуре облачной платформы.
Тем временем, Oracle категорически отрицает сам факт инцидента. По словам компании, опубликованные учётные данные не имеют отношения к их облачной платформе, а среди клиентов Oracle Cloud не зафиксировано ни одной утечки. Таким образом, заявления компании расходятся как с утверждениями хакера, так и с результатами анализа CloudSEK.
Если утечка действительно произошла, последствия могут оказаться масштабными. Похищенные JKS-файлы, содержащие криптографические ключи, представляют особую опасность — они могут быть использованы для дешифровки конфиденциальной информации и вторичного доступа к системам. Компрометация SSO и LDAP-паролей также повышает риск каскадных атак на организации, использующие Oracle Cloud.
CloudSEK рекомендует провести немедленную смену учётных данных, полный анализ инцидента с привлечением специалистов по информационной безопасности, а также усилить мониторинг и контроль доступа. Организациям также советуют взаимодействовать напрямую с Oracle для проверки возможной компрометации и своевременного реагирования на инцидент.