W ostatnich tygodniach pojawiła się seria doniesień dotyczących naruszeń bezpieczeństwa w systemach Oracle. Pomimo początkowych stanowczych zaprzeczeń ze strony giganta technologicznego, dowody i reakcje klientów zdają się malować odmienny obraz sytuacji. Przyjrzyjmy się chronologicznie, jak rozwijała się ta sprawa.
Pierwsze sygnały i zaprzeczenia Oracle
Alarm podniósł 20 marca 2025 roku cyberprzestępca o pseudonimie „rose87168”, który na forum Breachforums poinformował o uzyskaniu dostępu do 6 milionów rekordów danych z systemów Oracle. Twierdził, że w jego posiadaniu znalazły się zaszyfrowane hasła, dane logowania Single Sign-On (SSO) i Lightweight Directory Access Protocol (LDAP), a także lista ponad 140 tysięcy domen firmowych i instytucji rządowych
Wkrótce po tych doniesieniach, w marcu 2025 roku, pojawiły się informacje o próbach sprzedaży w sieci danych rzekomo pochodzących z serwerów chmurowych Oracle. W odpowiedzi na te doniesienia, Oracle wydało oświadczenie, w którym zaprzeczyło naruszeniu swojego produktu do przechowywania w chmurze. Firma zapewniała klientów, że „nie doszło do naruszenia Oracle Cloud” oraz że opublikowane dane logowania nie dotyczą tej platformy.
Analiza CloudSEK
Jednakże, 21 marca 2025 roku, firma CloudSEK poinformowała o wykryciu oferty sprzedaży 6 milionów rekordów danych rzekomo pochodzących z Oracle Cloud. Ich dogłębna analiza wykazała skompromitowany produkcyjny punkt końcowy SSO, dotykający ponad 140 000 klientów i ujawniający wrażliwe dane SSO i LDAP. CloudSEK potwierdził autentyczność danych, w tym fakt, że serwer login.us2.oraclecloud.com był produkcyjnym systemem SSO. Badacze znaleźli dowody na powiązania tego endpointu z oficjalnymi repozytoriami Oracle na GitHubie oraz potwierdzili obecność prawdziwych domen klientów Oracle na liście udostępnionej przez atakującego.
Doniesienia CloudSEK znalazły potwierdzenie w relacjach portalu BleepingComputer, który również zweryfikował istnienie próbek danych i potwierdził ich autentyczność u części firm, których dane znalazły się w wycieku. Klienci anonimowo potwierdzili, że adresy e-mail, identyfikatory LDAP i inne szczegóły odpowiadają realnym użytkownikom.
Informacja z Oracle
Na początku kwietnia 2025 roku, Oracle poinformował klientów o drugim niedawnym włamaniu, w wyniku którego skradziono stare dane logowania klientów z tak zwanego „środowiska legacy”, które nie było używane od ośmiu lat. Firma przekazała, że atakujący uzyskał dostęp do nazw użytkowników, kluczy dostępu i zaszyfrowanych haseł. Oracle poinformował, że FBI i firma CrowdStrike Holdings Inc. prowadzą dochodzenie w tej sprawie, a atakujący zażądał okupu. Oracle utrzymywał, że ten incydent jest oddzielny od marcowego włamania.
Dopiero 9 kwietnia 2025 roku, Oracle ostatecznie potwierdził w e-mailach wysłanych do klientów, że haker ukradł i upublicznił dane logowania z „dwóch przestarzałych serwerów”. Firma ponownie zaznaczyła, że jej serwery Oracle Cloud Infrastructure (OCI) nie zostały naruszone, a incydent nie wpłynął na dane klientów ani usługi chmurowe. Oracle stwierdził, że hasła na tych serwerach były zaszyfrowane i/lub haszowane, co miało uniemożliwić hakerowi dostęp do środowisk klientów lub ich danych.
Ekspert ds. cyberbezpieczeństwa Kevin Beaumont zauważył, że twierdzenie Oracle o braku naruszenia „Oracle Cloud” jest „grą słów”, ponieważ dotknięte serwery Oracle Cloud Classic są nadal zarządzanymi usługami chmurowymi Oracle. Podobne zdanie wyraziła firma CloudSEK, która podkreśliła, że pomimo zaprzeczeń, ich analiza wskazuje na skompromitowany produkcyjny endpoint SSO.
Dodatkowego kontekstu dostarcza analiza Cloudsek, która wskazała na możliwość wykorzystania luki CVE-2021-35587 w oprogramowaniu Oracle Fusion Middleware 11g, które mogło działać na jednym z serwerów Oracle jeszcze w lutym 2025 roku. Według relacji cyberprzestępcy, to właśnie ta podatność mogła zostać wykorzystana do ataku na Oracle Access Manager.
Sytuacja wokół wycieku danych z Oracle jest złożona i budzi wiele wątpliwości. Pomimo oficjalnych zapewnień, liczne dowody i potwierdzenia wskazują na naruszenie systemów Oracle, które dotknęło dane klientów. Rozbieżność między komunikacją firmy a ustaleniami ekspertów i relacjami poszkodowanych rodzi pytania o przejrzystość i rzetelność informacji przekazywanych przez Oracle w obliczu incydentów cyberbezpieczeństwa. Sprawa ta z pewnością będzie się dalej rozwijać, a klienci i eksperci będą oczekiwać wyjaśnień i dalszych działań ze strony firmy.
Źródła:
https://www.cloudsek.com
https://www.bleepingcomputer.com
