A negativa da Oracle sobre uma possível violação de segurança em sua nuvem está sendo seriamente contestada. Um pesquisador de segurança da informação, que está investigando alegações de que os servidores de login da Oracle Cloud foram comprometidos no início deste ano, afirma que alguns clientes já confirmaram que os dados supostamente roubados e vazados são legítimos.
Após a Oracle minimizar os relatos sobre o ataque, o invasor conhecido como rose87168, que assumiu a autoria da intrusão e do roubo de aproximadamente seis milhões de registros — incluindo chaves de segurança de clientes, credenciais criptografadas, entradas LDAP e outros dados — enviou uma amostra com 10.000 linhas desses dados para Alon Gal, cofundador e CTO da empresa de segurança Hudson Rock.
Gal entrou em contato com diversos clientes da Hudson Rock que apareciam na amostra. Três deles confirmaram a autenticidade dos dados fornecidos por rose87168. Um cliente afirmou que seus usuários constam na amostra e têm acesso a informações sensíveis; outro confirmou que os dados são legítimos e de ambiente de produção, embora datem de 2023. Um terceiro cliente confirmou que os IDs de usuários e de inquilinos na amostra coincidem com os usados em seu ambiente real.
Apesar dessas evidências, a Oracle reafirmou: “Não houve violação na Oracle Cloud. As credenciais publicadas não pertencem à Oracle Cloud. Nenhum cliente da Oracle Cloud teve seus dados comprometidos.” No entanto, como prova da invasão, rose87168 conseguiu criar um arquivo de texto em um servidor público da Oracle contendo seu e-mail, indicando que realmente teve acesso ao sistema.
A empresa de cibersegurança CloudSEK acredita que o hacker explorou a vulnerabilidade CVE-2021-35587, crítica no Oracle Access Manager, o que indicaria que a Oracle deixou de corrigir uma falha grave em sua própria infraestrutura. A mesma amostra de dados também foi enviada à CloudSEK, que afirma que as informações envolvem mais de 1.500 organizações afetadas. Segundo a empresa, o volume e a estrutura dos dados vazados tornam difícil a possibilidade de falsificação, reforçando a credibilidade da violação.
Caso os dados sejam autênticos, como sugerem especialistas da área, as consequências podem ser sérias, incluindo riscos de ataques de ransomware e comprometimentos na cadeia de suprimentos. As credenciais SSO e LDAP estão criptografadas, e rose87168 afirma não ter conseguido quebrar as senhas, mas ofereceu parte dos dados gratuitamente a quem puder ajudar. O preço do pacote completo não foi divulgado, mas o invasor disse aceitar dinheiro ou até zero-days como pagamento.
Especialistas recomendam que organizações que suspeitem estar envolvidas troquem imediatamente as credenciais SSO e LDAP, adotem políticas de senhas fortes, implementem autenticação multifator (MFA) e acionem seus planos de resposta a incidentes para verificar possíveis acessos não autorizados. A Oracle foi procurada para comentar os últimos desdobramentos revelados pela CloudSEK e Hudson Rock, mas não respondeu até o momento da publicação.
Via - TR
Comments