Update 15:45: We hebben van CloudSEK vernomen dat Oracle daadwerkelijk is gehackt. CloudSEK vermeldt het volgende:
“Ons threat intelligence-team heeft overtuigend bewijs gevonden dat de beweringen van de threat actor bevestigt, waaronder blootstelling op productieniveau van Oracle Cloud SSO-endpoints en echte klantgegevens in de gelekte samples.“
Het onderzoek van CloudSEK begon op 21 maart. Nu is duidelijk dat het domein login.us2.oraclecloud.com gecompromitteerd was. Het bedrijf spreekt over een ‘diepgaande impact’.
Een Techzine-lezer vertelde eveneens dat Oracle een wachtwoord-reset heeft aangevraagd bij diens werkgever, en stelt: “dat zou je iets moeten vertellen” .
Oorspronkelijk bericht (9:18):
Donderdagavond claimde een hacker zes miljoen records van Oracle Cloud te hebben gestolen. Servers in zowel Amsterdam als Chicago zouden niet tijdig gepatcht zijn. Oracle ontkent echter dat er een hack heeft plaatsgevonden.
De vermeende aanvaller luistert naar de naam “rose87168”. 140.000 tenants zouden in de 6 miljoen records zijn blootgesteld, met Java Key Store-bestanden, versleutelde wachtwoorden en Enterprise Manager JPS-sleutels als buit.
Oracle betaalt niet en ontkent
Oracle is er duidelijk over tegenover onder meer The Register. “No breach” luidt het oordeel van de Amerikaanse cloudspeler. “De gepubliceerde credentials zijn niet voor de Oracle Cloud. Geen Oracle Cloud-klanten hebben een lek ervaren of gegevens verloren.”
Desondanks gaan externe partijen wel degelijk van een succesvolle compromis uit. Zo speculeert CloudSEK dat de US2-server in Chicago niet is gepatcht voor CVE-2021-35587, een kritieke kwetsbaarheid in Oracle Access Manager binnen Oracle Fusion Middleware. Hoe de aanvaller bij data van EM2 (te Amsterdam) kwam, is niet bekend.
Een maand geleden zou rose87168 Oracle hebben gecontacteerd met een eis van meer dan 200 miljoen dollar aan cryptomunten. Oracle weigerde dit te doen. Aangezien het betalen van cybercriminelen niet is toegestaan in de VS, viel dit te verwachten.
Gevaren
Hack of geen hack, het resetten van credentials is een zeer aan te raden stap voor organisaties op Oracle Cloud. rose87168 stelt dat getroffen tenants ook kunnen betalen om hun credentials van de leak list te halen, maar dat levert vanzelfsprekend geen garanties op. Zoals gezegd zijn onderhandelingen met cybercriminelen in de VS illegaal, terwijl hier in Europa een minder restrictief beleid op is.
Aangezien rose87168 nog meer bewijs aan BleepingComputer wist te delen, is het aannemelijk dat de hack daadwerkelijk plaatsvond. De infiltratie zou 40 dagen geleden hebben plaatsgevonden. Echter is het nog afwachten of organisaties hun credentials herkennen in de data die BleepingComputer met hen heeft gedeeld.
Onbekende zaken
De SSO-wachtwoorden zouden met de beschikbare bestanden te kraken zijn, aldus rose87168. Ook zijn de hashes van LDAP-wachtwoorden mogelijk door iemand anders los te peuteren, maar de aanvaller zelf lukte dit niet. De gestolen gegevens zijn voor verdere hacks nuttig indien organisaties niet passende maatregelen treffen. De bekendmaking van de aanval stelt het in ieder geval in staat om te controleren op compromissen en hun credentials te vernieuwen.
We hebben dit jaar al gezien dat vermeende hacks onwaar kunnen blijken. Zo stelde de Space Bears-groep dat het Atos had gecompromitteerd, maar niets was minder waar.
Lees ook: Ramsomwarebende claimt hack op Centric