Oracle Cloud数据泄露争议调查

事件背景

关键点

• CloudSEK报告：发现600万条Oracle Cloud记录在暗网兜售，涉及SSO/LDAP敏感数据
• Oracle官方声明："Oracle Cloud未被入侵，已发布凭证不适用于云环境，无客户数据丢失"
• 争议焦点：攻击者声称的漏洞利用路径与Oracle云基础架构安全性的直接冲突

事件时间线

技术证据链分析

1. 攻击载体溯源

• 攻击入口：login.us2.oraclecloud.com子域名
• 历史存档：Wayback Machine显示该端点曾托管Oracle Fusion Middleware 11G
• 漏洞关联：CVE-2021-35587（CVSS 9.8）存在于历史版本（2014年构建）

2. 通过暗网销售泄露数据

• 数据库包含：
• JKS文件
• 加密的SSO密码
• 密钥文件
• 企业管理器JPS密钥
• 约600万条Oracle Cloud SSO和LDAP数据，包括：
• 攻击者悬赏寻求解密SSO密码和破解LDAP密码的帮助
• 受影响租户超过14万家，攻击者胁迫企业支付"删除费"

3. 攻击者数字足迹

• 新建X账户@rose87168（2025-01注册）

• 关注列表包含14个相关Oracle技术社区账号

• 最新勒索贴文包含验证文件：

• 发布下列样例数据

• 示例 LDAP > https://anonfile.io/f/sgRKh9HJ
• 公司列表 > https://anonfile.io/f/KUJuSgIX
• 示例数据库 > https://anonfile.io/f/1N4UXKtv

4.CVE-2021-35587：Oracle访问管理器漏洞（OpenSSO代理）

该漏洞影响以下版本的Oracle Fusion Middleware：

• 11.1.2.3.0
• 12.2.1.3.0
• 12.2.1.4.0

未经身份验证的攻击者可通过HTTP网络访问完全接管Oracle访问管理器。

攻击者向独立新闻源承认利用未公开PoC的公共CVE漏洞入侵Oracle Cloud服务器。技术证据显示攻击者可能利用Oracle Fusion Middleware的老旧漏洞实施攻击。

威胁行为者画像