2025 年最大的供应链黑客攻击：600 万的信息泄露

2025 年 3 月 21 日，CloudSEK 的 XVigil 发现威胁行为者“rose87168”出售从 Oracle Cloud 的 SSO 和 LDAP 窃取的 600 万条记录。这些数据包括 JKS 文件、加密的 SSO 密码、密钥文件和企业管理器 JPS 密钥。

该攻击者自 2025 年 1 月起活跃，正在激励解密协助并要求 14 万多名受影响租户支付数据删除费用。我们与威胁行为者的接触表明 login.(region-name).oraclecloud.com 上可能存在未披露的漏洞，从而导致未经授权的访问。虽然威胁行为者没有先前的历史，但他们的方法表明其高度复杂，CloudSEK 对此威胁的评估为中等可信度并将其严重性评定为高。

在此检查您的曝光率 -  https://exposure.cloudsek.com/oracle

CloudSEK 的 XVigil 发现威胁行为者“rose87168”于 2025 年 3 月 21 日出售从 Oracle Cloud 的 SSO 和 LDAP 中提取的 600 万条记录。该威胁行为者声称通过入侵登录端点获得了访问权限：login.(region-name).oraclecloud.com。

该数据库包括：

从 Oracle Cloud 的 SSO 和 LDAP 转储了约 600 万行数据，其中包括

• JKS 文件，
• 加密的 SSO 密码，
• 关键文件，
• 企业管理器 JPS 密钥。

此外，威胁行为者还向帮助他们解密 SSO 密码和/或破解 LDAP 密码的任何人提供奖励。

受影响租户名单超过 14 万，威胁行为者正在敦促公司联系他们并支付一定的“费用”以删除他们的数据。

该威胁行为者还创建了一个 X 页面并开始关注 Oracle 相关页面。

威胁行为者声称已经入侵了子域名login.us2.oraclecloud.com，该域名自遭到黑客攻击后就一直处于瘫痪状态。

该子域名于 2025 年 2 月 17 日在回程机器上被捕获，这表明它托管了 Oracle fusion middleware 11G。

根据 fofa 的说法，Oracle Fusion 中间件服务器最后一次更新是在 2014 年 9 月 27 日星期六。Oracle Fusion 中间件有一个严重漏洞 CVE-2021-35587，会影响 Oracle Access Manager (OpenSSO 代理)。该漏洞于 2022 年 12 月添加到 CISA KEV（已知被利用的漏洞）中。

CVE-2021-35587：Oracle Access Manager（OpenSSO 代理）中的漏洞

Oracle Fusion Middleware（OpenSSO Agent）的Oracle Access Manager组件存在漏洞，受影响的版本为：

11.1.2.3.0

12.2.1.3.0

12.2.1.4.0

‍

此漏洞易于利用，允许未经身份验证的攻击者通过 HTTP 访问网络，从而破坏 Oracle Access Manager。成功利用此漏洞可导致 Oracle Access Manager 完全被接管。

威胁行为者向一家独立新闻媒体声称，他们已经利用一个公开的 CVE（缺陷）攻陷了 Oracle 云服务器的一个易受攻击的版本，但该缺陷目前还没有公开的 PoC 或漏洞利用程序。

从上述屏幕截图中我们可以看出，根据 FOFA 结果，登录端点上次更新是在 2014 年。因此，我们开始寻找任何对技术堆栈影响较大的旧 CVE。在此过程中，我们发现了一个影响 Oracle Fusion Middleware 的旧 CVE（CVE-2021-35587），该 CVE 只有一个已知的公开漏洞。‍

由于缺乏补丁管理实践和/或不安全的编码，Oracle Fusion Middleware 中的漏洞被威胁者利用。这个易于利用的漏洞允许未经身份验证的攻击者通过 HTTP 访问网络，从而破坏 Oracle Access Manager。成功攻击此漏洞可导致 Oracle Access Manager (OAM) 被接管。这也与 Breachforums 上泄露的样本一致。‍

影响

• 大规模数据泄露：包括敏感的身份验证相关数据在内的 600 万条记录遭到泄露，增加了未经授权访问和企业间谍活动的风险。
• 凭证泄露：加密的 SSO 和 LDAP 密码如果被破解，可能会导致 Oracle 云环境中进一步出现漏洞。
• 勒索和赎金要求：威胁行为者正在强迫受影响的公司支付数据删除费用，从而增加了财务和声誉风险。
• 零日漏洞利用：疑似使用零日漏洞引发了人们对 Oracle 云安全性和未来潜在攻击的担忧。
• 供应链风险：JKS 和密钥文件的泄露可能会使攻击者能够攻击并破坏多个互连的企业系统。

立即采取安全措施

• 重置密码：立即重置所有被盗 LDAP 用户帐户的密码，尤其要关注特权帐户（例如租户管理员）。强制实施强密码策略和 MFA。
• 更新 SASL 哈希：重新生成 SASL/MD5 哈希或迁移到更安全的身份验证方法。

租户级凭证轮换

• 立即联系 Oracle 支持以轮换特定于租户的标识符（例如，orclmttenantguid、orclmttenantuname）并讨论必要的补救步骤。

重新生成证书和机密

• 重新生成并替换与受损 LDAP 配置相关的任何 SSO/SAML/OIDC 机密或证书。

审计与监控

• 查看 LDAP 日志中是否存在可疑的身份验证尝试。
• 调查最近的帐户活动以检测潜在的未经授权的访问。
• 实施持续监控以追踪未经授权的访问和异常行为。

增强的安全协议

• 立即凭证轮换：轮换所有 SSO、LDAP 和相关凭证，确保强密码策略并实施多因素身份验证 (MFA)。
• 事件响应和取证：进行全面调查以识别潜在的未经授权的访问并减轻进一步的风险。
• 威胁情报监控：持续监控暗网和威胁行为者论坛，了解与泄露数据相关的讨论。
• 与 Oracle 安全部门合作：向 Oracle 报告事件，以验证潜在的供应链攻击并寻求补丁或缓解措施。
• 加强访问控制：实施严格的访问策略，采用最小特权原则，并增强日志记录机制以检测异常并防止将来发生违规行为。

原文始发于微信公众号（KK安全说）：2025 年最大的供应链黑客攻击：600 万的信息泄露