根据Bleeping Computer、HackRead、SecurityWeek等安全新闻网站的报道,3月20日名为rose87168的人士于黑客论坛声称,他手上握有超过14万个Oracle Cloud租户的数据,数据量多达600万笔,其中包含单一签入(SSO)及LDAP的帐密数据,想要寻找买主。对此,Oracle否认遭到入侵,并强调黑客公布的帐密数据无法用于Oracle Cloud,没有Oracle Cloud客户面临数据外流或是遗失的情况。
最早报道此事的Bleeping Computer与rose87168取得联系,他们声称从Oracle Cloud的单一签入服务窃得的数据,内容包含加密的SSO密码、Java Keystore文件(JKS)、密钥文件,以及企业管理者的JPS密钥。他们声称在40天前取得Oracle Cloud的访问权限,并在偷到数据后,向Oracle勒索10万门罗币(XMR),换取黑客提供如何入侵的资讯。不过,Oracle要求有关弱点资讯后,表明拒绝付钱。
针对这起事故,显然有媒体对Oracle的说法不买单,他们根据安全企业的说法,认为这些流出的可能是真实数据,黑客的入侵渠道与身份验证的环节有关。另外两家安全新闻网站HackRead、SecurityWeek引述安全企业CloudSEK的调查结果,这批黑客大约从今年1月开始活动,根据黑客公开的数据,遭到入侵的域名疑似是Oracle Fusion Middleware 11G主机,黑客很有可能是利用CVE-2021-35587而得逞,此漏洞存在于OpenSSO代理程序组件Oracle Access Manager,CVSS风险为9.8分。
时隔3天,CloudSEK公布新的调查结果,指出根据黑客提供买家验证的部分数据(1万笔),这批数据确实来自Oracle Cloud域名login.us2.oraclecloud.com,该服务器为实际上线的SSO身份验证平台,且外流文件内容为客户的真实数据。
除此之外,另一家安全企业Hudson Rock也证实确有此事,该公司共同创办人暨首席技术官Alon Gal指出,他根据黑客提供的1万笔数据向客户进行确认,结果得到3家客户回复,其中2家表示是正式生产环境数据,另1家则表示暴露的用户账号真实存在。
虽然两家安全企业都是根据黑客公开的数据,确认部分为实际使用的真实账号、密码,但究竟这些黑客手上握有多少数据,而这批数据是否来自相同的来源,仍有待进一步厘清。
