尽管Oracle否认其Oracle Cloud联合SSO登录服务器被入侵以及600万人的账户数据被盗,但BleepingComputer已与多家公司确认,威胁行为者分享的数据样本是有效的。
上周,一个名叫“rose87168”的人声称入侵了Oracle Cloud服务器,并开始出售据称属于600万用户的认证数据和加密密码。该威胁行为者还表示,被盗的SSO和LDAP密码可以利用被盗文件中的信息进行解密,并愿意与能够帮助恢复这些密码的人分享部分数据。
威胁行为者发布了多个文本文件,包含一个数据库、LDAP数据以及140,621个公司和政府机构域的列表,这些域据称受到了此次入侵的影响。需要注意的是,其中一些公司域看起来像是测试用的,而且每个公司有多个域。
威胁行为者正在出售据称被盗的Oracle Cloud数据
来源:BleepingComputer
除了数据之外,“rose87168”还与BleepingComputer分享了一个Archive.org网址,该网址指向一个托管在“login.us2.oraclecloud.com”服务器上的文本文件,其中包含他们的电子邮件地址。这个文件表明威胁行为者可以在Oracle的服务器上创建文件,这表明实际发生了入侵。
然而,Oracle否认其Oracle Cloud遭受了入侵,并拒绝回答关于此次事件的任何进一步问题。
“Oracle Cloud没有被入侵。发布的凭据不是用于Oracle Cloud的。没有Oracle Cloud客户遭受入侵或丢失任何数据,”该公司上周五对BleepingComputer表示。
然而,这一否认与BleepingComputer的调查结果相矛盾,后者从威胁行为者那里获得了更多泄露数据的样本,并联系了相关公司。
这些公司的代表在承诺匿名的情况下同意确认数据,他们确认了信息的真实性。这些公司表示,相关的LDAP显示名称、电子邮件地址、名字和其他身份信息都是正确的,并且属于他们。
威胁行为者还与BleepingComputer分享了据称是他们与Oracle之间的电子邮件交流。
一封电子邮件显示威胁行为者联系了Oracle的安全电子邮件(secalert_us@oracle.com),报告他们入侵了服务器。
“我已经深入研究了你们的云仪表板基础设施,发现了一个巨大的漏洞,让我获得了600万用户信息的完全访问权限,”BleepingComputer看到的电子邮件中写道。
另一封与BleepingComputer分享的电子邮件显示了威胁行为者与一个使用ProtonMail电子邮件地址的人之间的交流,该人声称来自Oracle。BleepingComputer已对这个人的电子邮件地址进行了遮盖,因为我们无法验证他们的身份或电子邮件交流的真实性。
在这封电子邮件交流中,威胁行为者表示,一个使用@proton.me电子邮件地址的Oracle人告诉他们:“我们收到了你的电子邮件。从现在起,我们使用这个电子邮件进行所有通信。你收到后告诉我。”
网络安全公司Cloudsek还发现了一个Archive.org网址,显示“login.us2.oraclecloud.com”服务器在2025年2月17日之前一直在运行Oracle融合中间件11g。在有关此次据称入侵的报道之后,Oracle已将这台服务器下线。
该软件版本受到一个被追踪为CVE-2021-35587的漏洞的影响,该漏洞允许未认证的攻击者入侵Oracle访问管理器。威胁行为者声称在此次据称入侵Oracle服务器时使用了这个漏洞。
BleepingComputer已多次就这些信息向Oracle发送电子邮件,但尚未收到任何回复。
消息来源:Bleeping Computer;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容