Ugyan az Oracle határozottan cáfolta, hogy illetéktelenek törtek volna be felhőszolgáltatása rendszerébe, de a hackerek által sötét webre kiszivárogtatott minták alapján több kiberbiztonsági cég szerint is bizonyítható az állítás ellenkezője. A közelmúltban egy ismert hackerfórumon egy „rose87168” nevű felhasználó a leírás szerint több mint 140 ezer Oracle Cloud ügyfél adatát kínálta fel értékesítésre. A csomag állítólag hatmillió sornyi adatot tartalmaz, beleértve SSO és LDAP jelszavakat, kulcsfájlokat, Enterprise Manager JPS kulcsokat, melyeket a login.us2.oraclecloud.com bejelentkezési végpont feltörésével szerezhetett meg az elkövető. A támadó jutalmat is kínál azoknak, akik közreműködnek az SSO jelszavak visszafejtésében vagy az LDAP jelszavak feltörésében. 

Az Oracle szóvivője hétfőn adott ki közleményt, miszerint a cég nem érintett adatszivárgásban, a közzétett állítólagos hitelesítő adatok nem az Oracle Cloud szolgáltatáshoz tartoznak, és hogy az ügyfelektől sem érkeztek eddig panaszok. A független szakértők azonban egyre több bizonyítékot találnak, miután sikerrel fel tudtak tölteni tetszőleges fájlokat Oracle Cloud rendszerekbe a mintegy 10 ezer rekordból álló mintaadatok segítségével.

Introvertáltak az IT-ban: a hard skill nem elég Már nem elég zárkózott zseninek lenni, aki egyedül old meg problémákat. Az 53. kraftie adásban az introverzióról beszélgettünk.

A HudsonRock társalapítója és műszaki igazgatója, Alon Gal nyilatkozata szerint több, az Oracle Cloud szolgáltatást használó ügyfél megerősítette számukra a kiszivárgott adatok valódiságát. Az egyik érintett bevallása alapján a kiszivárgott adatok 2023 végéről származhatnak éles környezetből, ugyan a hacker állítása szerint ennél frissebb, 2025-ös adatokról lehet szó. A CloudSEK biztonsági cég úgy gondolja, hogy a kiszivárgott információk mennyisége és szerkezete rendkívül megnehezíti az adatok hitelességének ellenőrzését, de készítettek egy online elérhető eszközt, amivel a szervezetek könnyebben megnézhetik, érintettek-e a szivárgásban. 

A fenyegetéselemzéssel foglalkozó Kela is elemezte a mintaadokat, melynek során 1547 egyedi domain nevet és 1510 bérlői azonosítót tudott elkülöníteni. A biztonsági cég szerint 90 országban lehetnek áldozatok, a legmagasabb arányban az Egyesült Királyságban, az Egyesült Államokban, Olaszországban, Franciaországban és Németországban. Ezen felül olyan domaineket találtak, amelyek a kormányokhoz és a kapcsolódó állami szervekhez kapcsolódnak.

Vegyes állásfoglalások

Az érintett domainneveket tartalmazó listán megtalálhatóak magyarországi piaci és állami szereplők is – szúrta ki a Forbes. Köztük például a MOL, a 4iG, az OTP, a Budapest Bank, a MÁV Informatika, az MTVA, az Index, az Opten, vagy akár a Digitális Állampolgárság appot fejlesztő Idomsoft. Ez viszont nem jelenti automatikusan azt, hogy tőlük adatokat loptak volna, vagy érzékeny információk kerültek ki.

A Forbes megkeresésére az Oracle magyar képviselete nem adott érdemi választ. A Telekom későbbre ígért tájékoztatást, míg az OTP úgy nyilatkozott, hogy nem történt adatvesztés az esetükben. A 4IG már korábban tudomást szerzett az incidensről, mellyel kapcsolatban az azonnali belső vizsgálatuk megállapította, hogy a 4iG Csoport és tagvállalatai által kezelt ügyféladatokat nem érintette. Az Idomsoft is tud már az esetről a Forbes cikke szerint.

Az ominózus Oracle-sebezhetőség

A jelek szerint az Oracle Cloud rendszerek elleni támadás a CVE-2021-35587 biztonsági hibát használta ki, amely az Oracle Access Manager (OpenSSO Agent) modult érintette, és 9.8 CVSS értékű kritikus sebezhetőségnek számít. A hiba lehetővé tette, hogy a hitelesítés nélküli támadó hálózati hozzáférést szerezzen és átvegye az irányítást az Oracle Acces Manager felett.

A RavenforTech szakértői szerint a titkosított SSO és LDAP jelszavak sikeres feltörés esetén további adatvédelmi incidenseket okozhatnak az Oracle Cloud környezetekben, mivel a támadók hozzáférhetnek az Oracle Cloud konzolhoz (adminisztrációs és konfigurációs beállítások), Oracle Identity Cloud Service-hez (IDCS) (felhasználókezelés, jogosultságkezelés) és egyéb SSO-alapú belépési pontokat is érinthet. Gyenge titkosítás, vagy korábban már kiszivárgott kulcsok esetén pedig viszonylag gyorsan feltörhetőek a jelszavak brute-force támadással, vagy hash adatbázisokkal való összevetés módszerével.

További lehetséges veszélyek közt említhető, hogy a JKS és kulcsfájlok kiszivárgása lehetőséget adhat a támadónak, hogy más, egymással összekapcsolt vállalati rendszereket is kompromittáljanak. Ezek a kulcsok titkosított hitelesítési adatokat tárolhatnak, API-khoz, adatbázisokhoz vagy egyéb belső rendszerekhez adhatnak hozzáférést, illetve a kulcsokkal SSL/TLS kapcsolatokhoz vagy aláírt kérésekhez használható tanúsítványok lehetnek - írják a biztonsági szakértők.