近期，据CloudSEK的XVigil平台调查，一名名为‘rose87168’的威胁者攻击了Oracle云服务，窃取了六百万条记录，可能影响超过14万租户。被窃取的数据包括JKS文件、加密的SSO密码、密钥文件和企业管理器JPS密钥等敏感信息，这些信息正在Breach Forums和其他暗网论坛上被出售。

该攻击者自2025年1月起活跃，声称入侵了Oracle Cloud的一个子域login.us2.oraclecloud.com，该子域已被关闭。据Wayback Machine在2025年2月17日的记录，该子域运行着Oracle融合中间件11G。攻击者要求受影响的租户支付赎金以删除数据，并提供激励措施，以协助解密被盗的SSO和LDAP密码。

CloudSEK的分析表明，攻击者可能利用了Oracle Cloud服务器的一个易受攻击版本，可能是较旧的漏洞CVE-2021-35587，该漏洞影响Oracle融合中间件（OpenSSO代理），受影响的版本包括11.1.2.3.0、12.2.1.3.0和12.2.1.4.0。此漏洞于2022年12月被添加到CISA KEV目录中，允许未认证的攻击者入侵Oracle访问管理器，可能导致系统被完全接管。这与攻击者窃取和共享的数据类型相符。利用此漏洞，攻击者可能获得环境的初始访问权限，然后在Oracle云环境中横向移动以访问其他系统和数据。进一步调查发现，Oracle融合中间件服务器最后一次更新是在2014年9月27日左右，软件已过时。

然而，Oracle发表声明否认其云基础设施遭到入侵，称“没有Oracle云的入侵。发布的凭据不是用于Oracle云。没有Oracle云客户遭受入侵或丢失任何数据”，这与CloudSEK的发现和攻击者的说法相矛盾。

如果此次入侵确实发生，其影响将极为严重。六百万条记录的暴露增加了未经授权访问和企业间谍活动的风险。JKS文件的窃取尤为令人担忧，因为这些文件包含加密密钥，可用于解密敏感数据或访问受影响组织内的其他系统。

资讯来源：hackread

转载请注明出处和本文链接

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！