Oracle finalmente reconoció ante algunos clientes que los atacantes habían robado credenciales de clientes antiguos después de violar un «entorno heredado» utilizado por última vez en 2017, informó Bloomberg.
Sin embargo, aunque Oracle les dijo a sus clientes que se trata de datos antiguos que no son confidenciales, el actor de amenazas detrás del ataque ha compartido datos con BleepingComputer desde fines de 2024 y ha publicado registros más nuevos de 2025 en un foro de piratería.
La firma de ciberseguridad CybelAngel reveló por primera vez que Oracle les dijo a sus clientes que un atacante que obtuvo acceso a los servidores Gen 1 (también conocidos como Oracle Cloud Classic) de la compañía en enero de 2025 utilizó un exploit de Java de 2020 para implementar un shell web y malware adicional.
Durante la violación, detectada a fines de febrero, el atacante supuestamente extrajo datos de la base de datos de Oracle Identity Manager (IDM), incluidos correos electrónicos de usuarios, contraseñas en hash y nombres de usuario.
Esto ocurre después de que un actor de amenazas (conocido como rose87168) puso a la venta 6 millones de registros de datos en BreachForums el 20 de marzo y publicó varios archivos de texto que contenían una base de datos de muestra, información LDAP y una lista de las empresas como prueba de que los datos eran legítimos, todos ellos supuestamente robados de los servidores de inicio de sesión SSO federados de Oracle Cloud.
Cuando se le pidió que confirmara la autenticidad de los datos filtrados, Oracle respondió a BleepingComputer: «No se ha producido ninguna vulneración de Oracle Cloud. Las credenciales publicadas no corresponden a Oracle Cloud. Ningún cliente de Oracle Cloud sufrió ninguna vulneración ni perdió datos».
Oracle lo negó incluso después de que una URL archivada mostrara que el atacante subió un archivo con su dirección de correo electrónico a uno de sus servidores. Esta URL se eliminó posteriormente de Archive.org, pero aún existe un archivo del archivo .
Sin embargo, días después, BleepingComputer confirmó con varias empresas que muestras adicionales de los datos filtrados (incluidos los nombres para mostrar de LDAP asociados, direcciones de correo electrónico, nombres de pila y otra información de identificación) recibidos del actor de amenazas eran válidas.
Oracle ha negado sistemáticamente los informes de una brecha de seguridad en Oracle Cloud en declaraciones compartidas con la prensa desde que se conoció el incidente. Esto es cierto, ya que coincide con los informes de que Oracle informa a sus clientes de que la brecha de seguridad afectó a una plataforma más antigua, Oracle Cloud Classic.
«Oracle renombró los antiguos servicios de Oracle Cloud como Oracle Classic. Oracle Classic tiene el incidente de seguridad», confirmó el lunes el experto en ciberseguridad Kevin Beaumont . «Oracle lo niega en ‘Oracle Cloud’ al usar este alcance, pero Oracle sigue gestionando los servicios de Oracle Cloud. Eso forma parte del juego de palabras».
Un portavoz de Oracle no estaba inmediatamente disponible para hacer comentarios cuando BleepingComputer lo contactó hoy temprano para obtener más detalles sobre la violación de Oracle Cloud.
Violación en Oracle Health
La semana pasada, Oracle también notificó a sus clientes sobre una vulneración en la empresa de software como servicio (SaaS) Oracle Health (anteriormente Cerner), que afectó a varias organizaciones de atención médica y hospitales de EE. UU.
Aunque la empresa no ha revelado públicamente este incidente, BleepingComputer confirmó que se robaron datos de pacientes en el ataque, como lo confirmaron las comunicaciones privadas entre Oracle Health y los clientes afectados y las conversaciones con los involucrados.
Oracle Health afirmó que detectó la violación de los servidores de migración de datos heredados de Cerner el 20 de febrero de 2025 y que los atacantes utilizaron credenciales de clientes comprometidas para piratear los servidores en algún momento después del 22 de enero de 2025.
Fuentes dijeron a BleepingComputer que los hospitales afectados ahora están siendo extorsionados por un actor de amenazas llamado «Andrew», quien no ha declarado estar afiliado a grupos de extorsión o ransomware.
El actor de amenazas exige millones de dólares en criptomonedas para no filtrar ni vender los datos robados y ha creado sitios web de clearnet sobre la violación para presionar a los hospitales a que paguen el rescate.
BleepingComputer se ha comunicado con Oracle Health varias veces sobre este incidente desde el 4 de marzo, pero no hemos recibido respuesta.
Fuente y redacción: bleepingcomputer.com