根據Bleeping Computer、HackRead、SecurityWeek等資安新聞網站的報導,3月20日名為rose87168的人士於駭客論壇聲稱,他手上握有超過14萬個Oracle Cloud租戶的資料,資料量多達600萬筆,其中包含單一簽入(SSO)及LDAP的帳密資料,想要尋找買主。對此,Oracle否認遭到入侵,並強調駭客公布的帳密資料無法用於Oracle Cloud,沒有Oracle Cloud客戶面臨資料外流或是遺失的情況。
最早報導此事的Bleeping Computer與rose87168取得聯繫,他們聲稱從Oracle Cloud的單一簽入服務竊得的資料,內容包含加密的SSO密碼、Java Keystore檔案(JKS)、金鑰檔案,以及企業管理者的JPS金鑰。他們聲稱在40天前取得Oracle Cloud的存取權限,並在偷到資料後,向Oracle勒索10萬門羅幣(XMR),換取駭客提供如何入侵的資訊。不過,Oracle要求有關弱點資訊後,表明拒絕付錢。
針對這起事故,顯然有媒體對Oracle的說法不買單,他們根據資安業者的說法,認為這些流出的可能是真實資料,駭客的入侵管道與身分驗證的環節有關。另外兩家資安新聞網站HackRead、SecurityWeek引述資安業者CloudSEK的調查結果,這批駭客大約從今年1月開始活動,根據駭客公開的資料,遭到入侵的網域疑似是Oracle Fusion Middleware 11G主機,駭客很有可能是利用CVE-2021-35587而得逞,此漏洞存在於OpenSSO代理程式元件Oracle Access Manager,CVSS風險為9.8分。
事隔3天,CloudSEK公布新的調查結果,指出根據駭客提供買家驗證的部分資料(1萬筆),這批資料確實來自Oracle Cloud網域login.us2.oraclecloud.com,該伺服器為實際上線的SSO身分驗證平臺,且外流檔案內容為客戶的真實資料。
除此之外,另一家資安業者Hudson Rock也證實確有此事,該公司共同創辦人暨技術長Alon Gal指出,他根據駭客提供的1萬筆資料向客戶進行確認,結果得到3家客戶回覆,其中2家表示是正式生產環境資料,另1家則表示曝露的使用者帳號真實存在。
雖然兩家資安業者都是根據駭客公開的資料,確認部分為實際使用的真實帳號、密碼,但究竟這些駭客手上握有多少資料,而這批資料是否來自相同的來源,仍有待進一步釐清。
