Hacker afirma que milhões de senhas e chaves de clientes Oracle foram roubadas; Empresa nega vazamento

Oracle nega ataque cibernético e vazamento de dados após hacker alegar que milhões de registros foram roubados dos servidores da empresa. Em meados de março, um invasor usando o pseudônimo rose87168 alegou ter roubado 6 milhões de registros de servidores Oracle Cloud Federated SSO Login. O arquivo que ele postou na darknet como exemplo incluía um banco de dados de amostra, informações LDAP e uma lista de empresas que usam o Oracle Cloud.

Fonte da imagem: Oracle

A Oracle nega categoricamente o hack. A empresa disse em uma declaração: “Não houve violação do Oracle Cloud. As credenciais publicadas não se aplicam ao Oracle Cloud. Nenhum cliente do Oracle Cloud sofreu violação ou perda de dados.”

Enquanto isso, rose87168 colocou o arquivo com dados à venda. O hacker está disposto a trocá-lo por uma quantia não revelada de dinheiro ou por exploits de dia zero. O invasor afirma que os dados incluem senhas SSO criptografadas, arquivos Java Key Store (JKS), arquivos de chave, chaves JPS do Enterprise Manager e muito mais.

«As senhas do SSO são criptografadas, mas podem ser descriptografadas usando arquivos acessíveis. Também é possível quebrar uma senha LDAP com hash. Listarei os domínios de todas as empresas mencionadas neste vazamento. As empresas podem pagar uma taxa para remover informações sobre seus funcionários da lista antes que ela seja vendida”, disse rose87168.

Como escreve o SecurityLab, se um vazamento realmente ocorresse, as consequências poderiam ser em grande escala. Arquivos JKS roubados contendo chaves criptográficas são particularmente perigosos: eles podem ser usados ​​para descriptografar informações confidenciais e obter acesso secundário aos sistemas. Comprometer senhas de SSO e LDAP também aumenta o risco de ataques em cascata em organizações que usam o Oracle Cloud.

Antes de colocar o arquivo roubado à venda, o invasor aparentemente exigiu 100.000 XMR (a criptomoeda Monero) da Oracle como resgate. No entanto, a empresa, por sua vez, pediu ao hacker “todas as informações necessárias para consertar e desenvolver um patch de segurança”. Como rose87168 não o forneceu, as negociações fracassaram, escreve o BleepingComputer.

Para provar a autenticidade dos arquivos roubados, o invasor forneceu ao BleepingComputer uma URL do Internet Archive confirmando que ele havia carregado um arquivo .txt contendo seu endereço de e-mail ProtonMail para o servidor login.us2.oraclecloud.com.

Especialistas sugerem que o hack foi realizado por meio da vulnerabilidade CVE-2021-35587, que afeta o Oracle Access Manager, que faz parte do Fusion Middleware. Ele permite que um invasor não autorizado obtenha controle do sistema via acesso HTTP.