尽管 Oracle 否认其 Oracle Cloud 联合 SSO 登录服务器遭到入侵以及 600 万人的账户数据被盗,但 BleepingComputer 已与多家公司确认,攻击者共享的相关数据样本是有效的。
上周,一个名为“rose87168”的人声称已经 入侵了 Oracle Cloud 服务器 ,并开始出售 600 万用户的所谓身份验证数据和加密密码。该攻击者还表示,可以使用被盗文件中的信息解密被盗的 SSO 和 LDAP 密码,并愿意与任何可以帮助恢复密码的人分享部分数据。
攻击者发布了多个文本文件,其中包括数据库、LDAP 数据以及据称受到此次入侵影响的公司和政府机构的 140,621 个域名列表。需要注意的是,一些公司域名看起来像是测试域名,每个公司都有多个域名。
除了数据之外,rose87168 还向 BleepingComputer 分享了托管在“login.us2.oraclecloud.com”服务器上的文本文件的Archive.org URL,其中包含他们的电子邮件地址。该文件表明攻击者可以在 Oracle 的服务器上创建文件,这表明确实存在入侵。不过,Oracle否认其 Oracle Cloud 遭到入侵,并拒绝回应有关该事件的任何进一步问题。
该公司上周五告诉 BleepingComputer:“Oracle Cloud 并未遭遇任何入侵。已发布的凭证并非针对 Oracle Cloud。没有 Oracle Cloud 客户遭遇入侵或丢失任何数据。”
然而,这种否认与 BleepingComputer 的调查结果相矛盾,BleepingComputer 从攻击者那里收到了泄露数据的更多样本,并联系了相关公司。
这些公司的代表均同意在匿名承诺下确认数据,并确认了信息的真实性。这些公司表示,相关的 LDAP 显示名称、电子邮件地址、名字和其他身份信息都是正确的,并且属于他们。
该攻击者还与 BleepingComputer 分享了电子邮件,声称是他们与 Oracle 之间交流的一部分。
BleepingComputer 看到的电子邮件中写道:“我深入研究了你们的云仪表板基础设施,发现了一个巨大漏洞,让我能够完全访问 600 万用户的信息。”
与 BleepingComputer 分享的另一封电子邮件显示了攻击者与使用 ProtonMail 电子邮件地址的自称来自 Oracle 的人之间的交流。BleepingComputer 已删除此人的电子邮件地址,因为我们无法验证他们的身份或电子邮件的真实性。
在此次电子邮件交流中,攻击者称 Oracle 的某个人使用 @proton.me 电子邮件地址告诉他们“我们收到了您的电子邮件。从现在开始,我们将使用此电子邮件进行所有通信。收到后请告诉我。”
网络安全公司 Cloudsek 还发现了一个Archive.org URL,显示截至 2025 年 2 月 17 日,“login.us2.oraclecloud.com”服务器正在运行 Oracle Fusion Middleware 11g。在涉嫌入侵的消息被报道后,Oracle 已将该服务器下线。
该软件的此版本受到漏洞CVE-2021-35587的影响,该漏洞允许未经身份验证的攻击者入侵 Oracle Access Manager。攻击者声称,此漏洞被用于入侵 Oracle 服务器。
原文始发于微信公众号(犀牛安全):Oracle 客户确认在Oracle Cloud 入侵事件中,窃取的数据属实且有效
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3917699.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论