Leset!p · Oracle Cloud sagt, dass es nicht wahr ist, dass jemand in die Login-Server eingebrochen ist und Daten gestohlen hat

Trotz gegenteiliger Beweise werden die angeblich gestohlenen Informationen zum Verkauf angeboten.
Eine Übersetzung von s3n🧩net

Oracle hat die Behauptungen eines Übeltäters, dass sein öffentliches Cloud-Angebot kompromittiert und Informationen gestohlen wurden, entschieden zurückgewiesen. Ein Gauner hat Ende letzter Woche in einem Online-Forum für Cyberkriminalität damit geworben, dass er angeblich Sicherheitsschlüssel von Oracle-Cloud-Kunden und andere sensible Daten des IT-Riesen gestohlen hat.

Dieses Material soll der Täter von mindestens einem der Single-Sign-On (SSO)-Anmeldeserver des Cloud-Anbieters erlangt haben, indem er eine Sicherheitslücke ausnutzte. Oracle sagt, dass dies nicht stimmt.

"Es gab keine Kompromittierung  der Oracle Cloud", sagte ein Sprecher am Freitag gegenüber The Register.

"Die veröffentlichten Anmeldedaten sind nicht für die Oracle Cloud. Keiner der Oracle-Cloud-Kunden hat einen Verstoß erlebt oder Daten verloren."

Wie die Jungs von Bleeping anmerkten, prahlte der Übeltäter damit, eine Textdatei auf einem Oracle-Cloud-Login-Server erstellt zu haben, und zwar login.us2.oraclecloud.com, die hier von der Wayback Machine des Internet-Archivs Anfang März als Beweis dafür aufgezeichnet wurde, dass die Systeme kompromittiert wurden.

Diese Datei enthält lediglich die E-Mail-Adresse der Person, die versucht, die angeblich gestohlenen Oracle-Cloud-Daten zu verkaufen. Wir haben Oracle um weitere Klarstellungen oder eine Erklärung gebeten. Es wird behauptet, dass Informationen vom EM2- sowie vom US2-Login-Server exfiltriert wurden. Muster der angeblich gestohlenen Daten wurden von dem vermeintlichen Dieb ebenfalls weitergegeben.

Ein Blick in die Wayback Machine zeigt, dass auf dem US2-Server noch im February 2025 eine Form von Oracle Fusion Middleware 11G lief.

Das Infosec-Unternehmen CloudSEK vermutet, dass der Server möglicherweise nicht gepatcht wurde, um CVE-2021-35587 zu schließen, eine bekannte kritische Schwachstelle im Oracle Access Manager von Fusion Middleware, insbesondere im OpenSSO-Agenten.

Die Ausnutzung dieses Fehlers - die über HTTP ohne Authentifizierung erfolgen kann - würde einem Eindringling möglicherweise Zugang zu genau der Art von Informationen verschaffen, die diese Woche zum Verkauf angeboten wurden. Öffentlicher Exploit-Code für die Schwachstelle existiert.

Am Donnerstag wurden angeblich sechs Millionen Datensätze von Java KeyStoreDateien von Oracle Cloud-Kunden, die Sicherheitszertifikate und -schlüssel, verschlüsselte Oracle Cloud SSO-Passwörter, verschlüsselte LDAP-Passwörter, Enterprise Manager JPS-Schlüssel und andere vom Cloud-Anbieter gestohlene Informationen enthalten, von einem bisher unbekannten Netizen namens rose87168 auf BreachForums zum Verkauf angeboten. Die Zahl der potenziell betroffenen Kunden soll in die Tausende gehen.

Der Preis für diese Informationen wurde nicht bekannt gegeben, soweit wir das beurteilen können, und der Verkäufer akzeptiert auch Zero-Day-Exploits als Bezahlung. Angeblich hat rose87168 Oracle vor etwa einem Monat kontaktiert, um den Datenbankgiganten über den angeblichen Datendiebstahl zu informieren. Er wollte mehr als 200 Millionen US-Dollar in Kryptowährung im Austausch für Details über den angeblichen Raub und wurde abgewiesen.

Die SSO-Passwörter sind verschlüsselt, sie können mit den verfügbaren Dateien entschlüsselt werden", behauptet der Internet-Ganove in seinem Beitrag auf BreachForums. "Auch gehashte LDAP-Passwörter können geknackt werden. Ich könnte es nicht tun, aber wenn mir jemand sagen kann, wie man sie entschlüsselt, kann ich ihm einige der Daten schenken." Zusätzlich hat der Möchtegern-Dieb eine Liste der Domains aller Unternehmen geteilt, die in den geleugneten Sicherheitsverstoß verwickelt sind, und darauf hingewiesen, dass die offenbar nicht kompromittierten Oracle-Kunden "einen bestimmten Betrag zahlen können, um die Informationen ihrer Mitarbeiter zu entfernen, bevor sie verkauft werden." ®

🤞

s3n🧩net wünscht viel Glück