El pasado jueves 20 de marzo, un atacante conocido como rose87168 publicó varios archivos de texto que contenían una base de datos de muestra, información LDAP y una lista de las empresas que, según afirmaba, fueron robadas de la plataforma SSO de Oracle Cloud.
Oracle niega haber sufrido la vulneración de datos después de que un atacante afirmara vender 6 millones de registros de datos presuntamente robados de los servidores de inicio de sesión único (SSO) federados de Oracle Cloud y que afectarían a más de 140.621 organizaciones. Entre los registros se encuentran cientos de dominios de América Latina.
«No se ha producido ninguna vulneración de datos en Oracle Cloud. Las credenciales publicadas no corresponden a Oracle Cloud. Ningún cliente de Oracle Cloud sufrió una vulneración ni perdió datos», declaró la compañía.
Como prueba adicional de que tenía acceso a los servidores de Oracle Cloud, el atacante compartió una URL de Internet Archive que indica que subió un archivo .TXT con su dirección de correo electrónico de ProtonMail al servidor login.us2.oraclecloud.com.
Presunta filtración de datos de Oracle
rose87168 ahora vende los datos presuntamente robados del servicio SSO de Oracle Cloud por un precio no revelado o a cambio de exploits de Zero-Day. Afirma que los datos (incluidas las contraseñas SSO cifradas, los archivos del almacén de claves Java (JKS), los archivos de claves y las claves JPS del administrador empresarial) fueron robados tras hackear los servidores de Oracle login.(region-name).oraclecloud.com.
«Las contraseñas SSO están cifradas y se pueden descifrar con los archivos disponibles. También se pueden descifrar las contraseñas con hash LDAP», afirma rose87168. «Enumeraré los dominios de todas las empresas incluidas en esta filtración. Las empresas pueden pagar una cantidad específica para eliminar la información de sus empleados de la lista antes de que se venda».
También han ofrecido compartir algunos de los datos con cualquiera que pueda ayudar a descifrar las contraseñas SSO o descifrar las contraseñas LDAP.
El actor de amenazas declaró que obtuvo acceso a los servidores de Oracle Cloud hace unos 40 días y afirmó haber enviado un correo electrónico a la empresa tras exfiltrar datos de las regiones de nube US2 y EM2. rose87168 afirmó haber solicitado a Oracle el pago de 100.000 XMR por información sobre cómo vulneraron los servidores, pero la empresa supuestamente se negó a pagar tras solicitar «toda la información necesaria para la corrección y el parche».
El actor de amenazas afirmó que todos los servidores de Oracle Cloud utilizan una versión vulnerable con un CVE-2021-3558 público que actualmente no cuenta con una PoC ni un exploit público.
Actualización: 25 de marzo de 2025
El actor de amenazas ha compartido una muestra de 10.000 líneas para fundamentar aún más sus afirmaciones. El análisis de este conjunto de datos ha revelado varias conclusiones cruciales:
- Amplio impacto en todas las organizaciones: la muestra contiene datos de más de 1.500 organizaciones únicas, lo que indica una filtración significativa.
- Autenticidad de los datos: el volumen y la estructura de la información filtrada dificultan enormemente su falsificación, lo que refuerza la credibilidad de la filtración.
- Indicadores de acceso a producción: muchas organizaciones afectadas tienen ID de tenant con el formato {tenant}-dev, {tenant}-test y {tenant}, lo que sugiere firmemente que el actor de amenazas también tiene acceso a entornos de producción.
- Exposición de correos electrónicos personales: el conjunto de datos incluye una cantidad considerable de direcciones de correo electrónico personales, probablemente debido a que las organizaciones permiten la autenticación basada en SSO para sus usuarios y clientes.
- Investigadores independientes que también recibieron este archivo pudieron verificar la validez de la filtración y confirmar que se trata de una violación legítima.
Dado que los supuestos datos podrían dar lugar a ataques generalizados a la cadena de suministro, CloudSek publicó una herramienta gratuita para comprobar si su organización figura en la lista de víctimas compartida por el atacante.
Seguiremos monitoreando la situación y proporcionaremos más actualizaciones a medida que haya más información.
Fuente y redacción: segu-info.com.ar
