一名威胁行为者针对Oracle云的登录基础设施发起了攻击,利用了中间件漏洞,并向超过14万家租户索要赎金。
据报道,一名威胁行为者已经攻破了Oracle云的基础设施,窃取了600万条敏感认证记录,并可能使超过14万家企业客户面临风险。据威胁情报公司CloudSEK称,该攻击者现在正在要求赎金支付,同时在地下论坛上积极出售被盗数据。
CloudSEK的XVigil安全研究团队于2025年3月21日发现了此次泄露事件,当时他们发现一名使用“rose87168”这一昵称的威胁行为者正在出售从Oracle云的单点登录(SSO)和轻量级目录访问协议(LDAP)系统中提取的数百万条记录。
被盗数据包括关键的安全组件,如Java密钥库(JKS)文件、加密的SSO密码、密钥文件和Enterprise Manager Java Platform Security(JPS)密钥——这些都是Oracle云环境中进行身份验证和访问控制所必需的元素。
根据CloudSEK的调查,攻击者声称是通过利用该公司登录端点的一个漏洞,专门瞄准了子域login.us2.oraclecloud.com,从而渗透进了Oracle的基础设施。据报道,截至2025年2月17日,该子域仍在运行,但使用的是严重过时的软件组件。
CloudSEK在报告中表示:“这名威胁行为者通过瞄准关键的身份验证基础设施,展示出了高超的能力。他们不仅在出售数据,还在积极招募人员协助解密被盗密码,这表明这是一次有组织且持续的威胁行动。”
Oracle否认了数据泄露事件。“Oracle云没有发生泄露事件。公布的凭据并非用于Oracle云。没有Oracle云客户遭遇泄露或丢失任何数据,”Oracle的一位发言人说道。
已知漏洞被利用
此次攻击似乎利用了CVE-2021-35587这一Oracle Access Manager中的关键漏洞,该漏洞于2022年12月被网络安全和基础设施安全局(CISA)添加到已知被利用漏洞目录中。报告中补充道,这一漏洞特别危险,因为它允许未经身份验证的攻击者通过HTTP网络访问完全控制Oracle Access Manager实例。
数字取证证据表明,被攻破的服务器运行的是Oracle Fusion Middleware 11G,其组件最后一次更新是在2014年9月,也就是十多年前。补丁管理的严重滞后为漏洞利用创造了机会。
CloudSEK的报告中指出:“由于缺乏补丁管理实践和/或不安全的编码,Oracle Fusion Middleware中的漏洞被威胁行为者所利用。这一易于利用的漏洞允许未经身份验证的攻击者通过HTTP网络访问来破坏Oracle Access Manager。成功利用此漏洞可导致接管Oracle Access Manager(OAM)。”
CloudSEK在报告中提到,这名威胁行为者据称向一家独立新闻机构透露,他们利用了“Oracle云服务器的一个存在公开CVE的易受攻击版本,而该版本目前没有公开的概念验证(Proof of Concept,PoC)或利用程序”。
报告中引用的互联网档案馆记录证实,截至2025年2月,被攻陷的子域仍在托管Oracle Fusion Middleware 11G,这违背了保持关键基础设施使用最新安全补丁更新的标准安全实践。
业务影响和风险
出现了一个令人担忧的情况,这名威胁行为者已经发起了一场勒索运动,联系受影响的公司,并要求支付赎金,以从被盗数据缓存中删除他们的数据。这为受害者带来了即时的财务压力,并需要在勒索支付方面做出复杂的法律和道德决策。
为了给Oracle和受影响组织施加更大压力,攻击者在社交媒体平台X(前身为Twitter)上建立了账号,关注与Oracle相关的账号,并准备在勒索要求得不到满足时提高此次泄露事件的公众关注度。
这位使用“rose87168”昵称的黑客在X上写道:“受泄露事件影响的公司可以联系我,以公开验证其数据是否源自Oracle云,我会将其从我的待售数据集中删除。”
此次泄露事件可能影响到超过14万家租户,带来了重大的供应链影响,因为被盗的身份验证机制可能会让攻击者能够在相连的组织和系统之间切换。这种乘数效应极大地扩大了潜在损害范围,超出了最初泄露事件的影响。
建议的缓解措施
CloudSEK为可能受影响的组织概述了一套全面的应对策略。
“首要任务是立即进行凭据轮换——重置所有LDAP用户账户的密码,尤其要关注特权账户,如租户管理员账户,因为这些账户可跨系统提供广泛访问权限,”报告建议道。
安全团队应实施更强大的身份验证控制,包括多因素身份验证(MFA)和加强的密码策略。这有助于减轻即使被盗加密密码最终被攻击者解密,也存在凭据复用风险的问题。
报告还补充道,组织必须重新生成并替换所有受影响证书,包括与被盗LDAP配置相关联的任何SSO、安全断言标记语言(SAML)或开放ID连接(OIDC)密钥。这种加密卫生对于恢复对身份验证机制的信任至关重要。
CloudSEK在报告中表示:“此次攻击的复杂性凸显了在保护云环境方面持续面临的挑战,特别是在身份验证系统方面。使用Oracle云服务的企业应将其视为需要立即采取行动的重大安全事件,无论他们是否已收到直接泄露通知。”
