Des clients d’Oracle confirment que des données ont bien été divulguées à la suite d’une compromission du cloud

 (bleepingcomputer.com)
2 points par GN⁺ 2025-03-28 | 1 commentaires | Partager sur WhatsApp
  • Oracle a nié une compromission du serveur de connexion SSO d’Oracle Cloud et le vol des données de 6 millions de comptes, mais des vérifications menées auprès de plusieurs entreprises ont confirmé que les échantillons de données partagés par l’acteur de la menace sont valides.
  • Une personne se faisant appeler « rose87168 » affirme avoir compromis des serveurs Oracle Cloud et a commencé à vendre des données d’authentification et des mots de passe chiffrés concernant 6 millions d’utilisateurs. Cet acteur de la menace affirme pouvoir déchiffrer les mots de passe SSO et LDAP volés, et propose de partager les données avec quiconque pourrait aider à les récupérer.
  • L’acteur de la menace a publié plusieurs fichiers texte contenant une base de données, des données LDAP et une liste de 140 621 domaines d’entreprises et d’organismes gouvernementaux supposément touchés par la compromission. Certains domaines d’entreprise semblent être destinés à des tests, et plusieurs domaines existent pour une même entreprise.
  • L’acteur de la menace a partagé avec BleepingComputer une URL Archive.org d’un fichier texte hébergé sur le serveur « login.us2.oraclecloud.com ». Ce fichier indique que l’acteur de la menace a pu créer un fichier sur un serveur Oracle, ce qui suggère une compromission réelle.
  • Cependant, Oracle continue de nier toute compromission d’Oracle Cloud et n’a pas répondu aux questions supplémentaires sur l’incident. Oracle a déclaré à BleepingComputer : « Il n’y a pas eu de compromission d’Oracle Cloud. Les identifiants publiés ne proviennent pas d’Oracle Cloud. Les clients d’Oracle Cloud n’ont subi ni compromission ni perte de données. »
  • Ce démenti contredit les constatations de BleepingComputer. BleepingComputer a reçu d’autres échantillons de la part de l’acteur de la menace et a contacté les entreprises concernées pour vérifier l’authenticité des données. Des représentants d’entreprises ayant confirmé les données sous couvert d’anonymat ont indiqué que des informations d’identification comme les noms d’affichage LDAP, les adresses e-mail et les noms étaient exacts et leur appartenaient.
  • L’acteur de la menace a partagé avec BleepingComputer des échanges d’e-mails avec Oracle. Dans l’un de ces e-mails, l’acteur de la menace signalait le piratage du serveur à l’adresse de sécurité d’Oracle (secalert_us@oracle.com).
  • Dans un autre échange d’e-mails, l’acteur de la menace a partagé une conversation avec une personne utilisant une adresse e-mail Oracle en @proton.me. BleepingComputer n’a pas pu vérifier l’identité associée à cette adresse ni l’authenticité de l’échange, et a donc supprimé l’adresse e-mail.
  • La société de cybersécurité Cloudsek a trouvé une URL Archive.org montrant que le serveur « login.us2.oraclecloud.com » exécutait Oracle Fusion Middleware 11g au 17 février 2025. Oracle a mis ce serveur hors ligne après la publication des informations sur la compromission.
  • Cette version du logiciel est affectée par une vulnérabilité suivie sous la référence CVE-2021-35587, qui permet à un attaquant non authentifié de compromettre Oracle Access Manager. L’acteur de la menace affirme que cette vulnérabilité a été utilisée pour compromettre les serveurs Oracle.
  • BleepingComputer a envoyé plusieurs e-mails à Oracle au sujet de ces informations, mais n’a reçu aucune réponse.

À lire aussi

1 commentaires

 
GN⁺ 2025-03-28
Avis Hacker News
  • BleepingComputer a confirmé auprès de plusieurs entreprises que les échantillons de données partagés par l’acteur malveillant sont valides
  • rose87168 a partagé avec BleepingComputer une URL Archive.org contenant un fichier texte hébergé sur le serveur login.us2.oraclecloud.com. Ce fichier indique que l’acteur malveillant a pu créer un fichier sur un serveur Oracle, ce qui laisse penser qu’il s’agit bien d’une compromission réelle
  • Oracle aurait dû reconnaître la validité des éléments dès le départ
  • Il n’y a pas de véritable sanction en cas de compromission, et mentir peut provoquer un impact PR pire que la compromission elle-même
  • Le simple fait qu’Oracle ait hébergé une passerelle de connexion sur un produit comportant une vulnérabilité connue depuis 2021 est déjà très inquiétant
  • Le fait qu’Oracle nie la compromission malgré des preuves évidentes est typique
  • Je me demande quel est le profil des utilisateurs des produits cloud d’Oracle, et ce qu’on en dit laisse penser à une souffrance sur le long terme
  • Cet incident n’aide pas à renforcer la confiance dans leurs produits
  • Si vous avez déjà fait tourner Oracle, vous comprendriez pourquoi cela n’a pas été patché. Ils ne rendent pas les choses faciles
  • L’acteur malveillant affirme avoir reçu d’une personne utilisant une adresse e-mail Oracle en @proton.me le message : « J’ai reçu votre e-mail. Utilisons désormais cette adresse. Faites-moi savoir quand vous l’aurez reçu. »
  • L’e-mail est l’une des sources que la plupart des sociétés cotées doivent conserver pendant une certaine durée (7 ans ?). Il s’agissait probablement d’une tentative d’éviter toute trace
  • Les violations de données n’ont malheureusement pas d’impact sur le cours de l’action. Les entreprises qui utilisent des produits Oracle ont peu de chances de migrer dans l’immédiat
  • Les ventes futures pourraient être affectées, et certaines petites entreprises pourraient migrer. Mais Oracle cherchera à minimiser l’affaire autant que possible
  • « Deny. Delay. Defend. » n’est pas qu’un slogan d’assurance santé
  • Je me demande si les données clients d’Oracle Opera Cloud et d’Oracle NetSuite Cloud ont aussi été volées. De très nombreux hôtels dans le monde utilisent Opera + NetSuite
  • J’ai travaillé il y a dix ans chez l’un des trois plus grands courtiers en assurance, au moment où les polices « cyber » ont été introduites. Je me demande qui souscrit la police d’Oracle et combien cela a coûté dans cette tour de couverture. N’avaient-ils pas de police ? J’espère que la D&O pourra couvrir les poursuites des actionnaires. Avec leurs liens étroits avec l’exécutif, il y a matière à interprétation des règles
  • Tyler Technologies a blâmé Judyrecords.com pour l’exposition d’affaires placées sous scellés en Californie, en affirmant qu’il s’agissait d’une faille de sécurité due à leur système d’obfuscation défaillant. Ils se défaussent de leur responsabilité
  • La règle n°1 en cas de compromission, c’est de ne pas écrire le mot compromission dans un e-mail. J’en déduis qu’ils en ont discuté en dehors de leur domaine
  • Je me demande depuis combien de temps Oracle nie les faits. Trois jours ?
  • Larry et Trump sont très proches. Oracle va probablement devoir licencier les CISO d’OCI et du SaaS, ou devrait le faire