早前有黑客在 BreachForums 论坛发布帖子称已经从甲骨文云计算平台 (Oracle Cloud) 窃取客户安全密钥和其他敏感数据,云平亿美元赎这名黑客自称数据来源是台服利用漏洞入侵某个甲骨文云提供单点登录 (SSO) 的登录服务器。
黑客知道甲骨文肯定会进行否认,器万条所以在 3 月份发起攻击时还预留证据,数据具体来说黑客在甲骨文云登录服务器上创建了文本文件,找甲该文件位于域名 login.us2.oraclecloud.com,金被拒蓝同时黑客还使用互联网档案馆的点网网站时光机拍摄快照作为证据。
既然互联网档案馆都已经成功拍摄这个文件的黑客拍照,说明黑客至少已经通过某种方式进入了甲骨文云的称入登录服务器,否则绝不可能直接将文件留在这台服务器上。侵甲窃
不过甲骨文经过调查后表示该平台没有发生任何安全问题,骨文骨文黑客发布的登录凭证也不适用于甲骨文云平台,没有任何客户遭遇入侵或者数据出现丢失等情况。
值得注意的是黑客销售的是包含甲骨文云平台客户的电子邮件地址,据称这部分信息是从 EM2 和 US2 登录服务器中窃取的,黑客按惯例也提供了部分数据样本。
通过互联网档案馆的网站时光机拍摄的快照可以看到甲骨文云 US2 服务器在 2025 年 2 月运行某种形式的 Oracle Fusion Middleware 11G。
信息安全机构 CloudSEK 认为该服务器很有可能是未及时修复 CVE-2021-35587 漏洞,这是 Fusion Middleware 的 Oracle Access Manager 中已知的漏洞,也牵涉到 OpenSSO 代理。
黑客在曝光这些数据前也已经联系甲骨文并索要 2 亿美元的赎金,但显然被甲骨文拒绝,至于窃取的数据则包括:安全证书和密钥、加密的 SSO 密码、加密的 LDAP 密码、企业管理器 JPS 密钥以及窃取的其他信息。
这份数据库包含大约 600 万条数据,数据以 Java KeyStore 的形式记录,最终涉及的用户可能在数千名左右,不过最终还需要甲骨文公布详细信息。
另外黑客还补充说 SSO 密码确实是经过加密的,但可以使用现有的文件进行解密,LDAP 哈希密码也可以破解,但黑客自己搞不定,如果有人提供破解方法那黑客也会提供好处。
