CloudSEK的XVigil平臺近期調查發現，一起針對甲骨文云（Oracle Cloud）的網絡攻擊導致600萬條記錄被竊取，可能影響超過14萬名租戶。

據報道，一名名為“rose87168”的威脅行為者實施了此次攻擊，竊取了包括JKS文件、加密的SSO密碼、密鑰文件和企業管理器JPS密鑰在內的敏感數據，這些數據目前正在Breach Forums和其他暗網論壇上出售。

攻擊細節與威脅行為者活動

自2025年1月以來，該攻擊者一直活躍，聲稱已攻陷子域名login.us2.oraclecloud.com，該子域名現已被關閉。根據2025年2月17日的Wayback Machine記錄，該子域名曾托管Oracle Fusion Middleware 11G。攻擊者要求受影響租戶支付贖金以刪除其數據，甚至為協助解密被盜的SSO和LDAP密碼提供獎勵。

CloudSEK的分析表明，威脅行為者可能利用了Oracle Cloud服務器的漏洞版本，特別是舊版漏洞CVE-2021-35587，該漏洞影響Oracle Fusion Middleware（OpenSSO Agent），受影響的版本包括：

• 11.1.2.3.0
• 12.2.1.3.0
• 12.2.1.4.0

該漏洞于2022年12月被添加到CISA KEV目錄中，允許未經身份驗證的攻擊者攻陷Oracle Access Manager，可能導致完全控制。這與攻擊者竊取和共享的數據類型一致。利用該漏洞，攻擊者可能獲得環境的初始訪問權限，然后在Oracle云環境中橫向移動，訪問其他系統和數據。進一步調查顯示，Oracle Fusion Middleware服務器最后一次更新是在2014年9月27日，表明軟件已過時。

CloudSEK研究人員在與Hackread.com獨家分享的博客文章中指出：“由于缺乏補丁管理實踐和/或不安全的編碼，威脅行為者利用了Oracle Fusion Middleware中的漏洞。這一易于利用的漏洞允許未經身份驗證的攻擊者通過HTTP網絡訪問攻陷Oracle Access Manager。”

甲骨文的回應與潛在影響

然而，甲骨文發布聲明否認其云基礎設施遭到入侵。甲骨文在回應報告時表示 ：“甲骨文云并未遭到入侵。公布的憑證并非用于甲骨文云。沒有任何甲骨云客戶遭遇入侵或丟失數據。”這一聲明直接與CloudSEK的調查結果和攻擊者的說法相矛盾。

盡管如此，如果此次入侵確實發生，其影響可能非常嚴重，因為600萬條記錄的暴露增加了未經授權訪問和企業間諜活動的風險。JKS文件的竊取尤為令人擔憂，因為這些文件包含加密密鑰，可用于解密敏感數據或訪問受影響組織內的其他系統。此外，加密的SSO和LDAP密碼的泄露可能導致甲骨文云環境中進一步的數據泄露。零日漏洞的使用也引發了對甲骨云整體安全性的擔憂。

安全建議與應對措施

CloudSEK建議立即進行憑證輪換、徹底的事件響應和取證、持續的威脅情報監控，并與甲骨文安全團隊聯系以進行驗證和緩解。他們還建議加強訪問控制，以防止未來類似事件的發生。