El pasado jueves 20 de marzo, un atacante conocido como
rose87168 publicó varios archivos de texto que contenían una base de
datos de muestra, información LDAP y una lista de las empresas que, según
afirmaba, fueron robadas de la plataforma SSO de Oracle Cloud.
Oracle niega haber sufrido la vulneración de datos después de que un atacante
afirmara vender 6 millones de registros de datos presuntamente robados de los
servidores de inicio de sesión único (SSO) federados de Oracle Cloud y
que afectarían a más de 140.621 organizaciones. Entre los registros se encuentra cientos de dominios de América Latina.
«No se ha producido ninguna vulneración de datos en Oracle Cloud. Las
credenciales publicadas no corresponden a Oracle Cloud. Ningún cliente de
Oracle Cloud sufrió una vulneración ni perdió datos», declaró la compañía.
Como prueba adicional de que tenía acceso a los servidores de Oracle Cloud, el
atacante compartió una URL de Internet Archive que indica que subió un archivo
.TXT con su dirección de correo electrónico de ProtonMail al servidor
login.us2.oraclecloud.com.
Presunta filtración de datos de Oracle
rose87168 ahora vende los datos presuntamente robados del servicio SSO
de Oracle Cloud por un precio no revelado o a cambio de exploits de Zero-Day.
Afirma que los datos (incluidas las contraseñas SSO cifradas, los
archivos del almacén de claves Java (JKS), los archivos de claves y las claves
JPS del administrador empresarial) fueron robados tras hackear los servidores
de Oracle login.(region-name).oraclecloud.com.
«Las contraseñas SSO están cifradas y se pueden descifrar con los archivos
disponibles. También se pueden descifrar las contraseñas con hash LDAP», afirma rose87168.
«Enumeraré los dominios de todas las empresas incluidas en esta filtración.
Las empresas pueden pagar una cantidad específica para eliminar la
información de sus empleados de la lista antes de que se venda».
También han ofrecido compartir algunos de los datos con cualquiera que pueda
ayudar a descifrar las contraseñas SSO o descifrar las contraseñas LDAP.
El actor de amenazas declaró que obtuvo acceso a los servidores de Oracle
Cloud hace unos 40 días y afirmó haber enviado un correo electrónico a la
empresa tras exfiltrar datos de las regiones de nube US2 y EM2.
rose87168 afirmó haber solicitado a Oracle el pago de 100.000 XMR por
información sobre cómo vulneraron los servidores, pero la empresa
supuestamente se negó a pagar tras solicitar
«toda la información necesaria para la corrección y el parche».
El actor de amenazas afirmó que todos los servidores de Oracle Cloud utilizan
una versión vulnerable con un CVE (fallo) público que actualmente no cuenta
con una PoC ni un exploit público.
Fuente:
BC