一名威脅行為者針對Oracle云的登錄基礎設施發起了攻擊，利用了中間件漏洞，并向超過14萬家租戶索要贖金。

　　據報道，一名威脅行為者已經攻破了Oracle云的基礎設施，竊取了600萬條敏感認證記錄，并可能使超過14萬家企業客戶面臨風險。據威脅情報公司CloudSEK稱，該攻擊者現在正在要求贖金支付，同時在地下論壇上積極出售被盜數據。

　　CloudSEK的XVigil安全研究團隊于2025年3月21日發現了此次泄露事件，當時他們發現一名使用“rose87168”這一昵稱的威脅行為者正在出售從Oracle云的單點登錄(SSO)和輕量級目錄訪問協議(LDAP)系統中提取的數百萬條記錄。

　　被盜數據包括關鍵的安全組件，如Java密鑰庫(JKS)文件、加密的SSO密碼、密鑰文件和Enterprise Manager Java Platform Security(JPS)密鑰——這些都是Oracle云環境中進行身份驗證和訪問控制所必需的元素。

　　根據CloudSEK的調查，攻擊者聲稱是通過利用該公司登錄端點的一個漏洞，專門瞄準了子域login.us2.oraclecloud.com，從而滲透進了Oracle的基礎設施。據報道，截至2025年2月17日，該子域仍在運行，但使用的是嚴重過時的軟件組件。

　　CloudSEK在報告中表示：“這名威脅行為者通過瞄準關鍵的身份驗證基礎設施，展示出了高超的能力。他們不僅在出售數據，還在積極招募人員協助解密被盜密碼，這表明這是一次有組織且持續的威脅行動。”

　　Oracle否認了數據泄露事件。“Oracle云沒有發生泄露事件。公布的憑據并非用于Oracle云。沒有Oracle云客戶遭遇泄露或丟失任何數據，”Oracle的一位發言人說道。

　　已知漏洞被利用

　　此次攻擊似乎利用了CVE-2021-35587這一Oracle Access Manager中的關鍵漏洞，該漏洞于2022年12月被網絡安全和基礎設施安全局(CISA)添加到已知被利用漏洞目錄中。報告中補充道，這一漏洞特別危險，因為它允許未經身份驗證的攻擊者通過HTTP網絡訪問完全控制Oracle Access Manager實例。

　　數字取證證據表明，被攻破的服務器運行的是Oracle Fusion Middleware 11G，其組件最后一次更新是在2014年9月，也就是十多年前。補丁管理的嚴重滯后為漏洞利用創造了機會。

　　CloudSEK的報告中指出：“由于缺乏補丁管理實踐和/或不安全的編碼，Oracle Fusion Middleware中的漏洞被威脅行為者所利用。這一易于利用的漏洞允許未經身份驗證的攻擊者通過HTTP網絡訪問來破壞Oracle Access Manager。成功利用此漏洞可導致接管Oracle Access Manager(OAM)。”

　　CloudSEK在報告中提到，這名威脅行為者據稱向一家獨立新聞機構透露，他們利用了“Oracle云服務器的一個存在公開CVE的易受攻擊版本，而該版本目前沒有公開的概念驗證(Proof of Concept，PoC)或利用程序”。

　　報告中引用的互聯網檔案館記錄證實，截至2025年2月，被攻陷的子域仍在托管Oracle Fusion Middleware 11G，這違背了保持關鍵基礎設施使用最新安全補丁更新的標準安全實踐。

　　業務影響和風險

　　出現了一個令人擔憂的情況，這名威脅行為者已經發起了一場勒索運動，聯系受影響的公司，并要求支付贖金，以從被盜數據緩存中刪除他們的數據。這為受害者帶來了即時的財務壓力，并需要在勒索支付方面做出復雜的法律和道德決策。

　　為了給Oracle和受影響組織施加更大壓力，攻擊者在社交媒體平臺X(前身為Twitter)上建立了賬號，關注與Oracle相關的賬號，并準備在勒索要求得不到滿足時提高此次泄露事件的公眾關注度。

　　這位使用“rose87168”昵稱的黑客在X上寫道：“受泄露事件影響的公司可以聯系我，以公開驗證其數據是否源自Oracle云，我會將其從我的待售數據集中刪除。”

　　此次泄露事件可能影響到超過14萬家租戶，帶來了重大的供應鏈影響，因為被盜的身份驗證機制可能會讓攻擊者能夠在相連的組織和系統之間切換。這種乘數效應極大地擴大了潛在損害范圍，超出了最初泄露事件的影響。

　　建議的緩解措施

　　CloudSEK為可能受影響的組織概述了一套全面的應對策略。

　　“首要任務是立即進行憑據輪換——重置所有LDAP用戶賬戶的密碼，尤其要關注特權賬戶，如租戶管理員賬戶，因為這些賬戶可跨系統提供廣泛訪問權限，”報告建議道。

　　安全團隊應實施更強大的身份驗證控制，包括多因素身份驗證(MFA)和加強的密碼策略。這有助于減輕即使被盜加密密碼最終被攻擊者解密，也存在憑據復用風險的問題。

　　報告還補充道，組織必須重新生成并替換所有受影響證書，包括與被盜LDAP配置相關聯的任何SSO、安全斷言標記語言(SAML)或開放ID連接(OIDC)密鑰。這種加密衛生對于恢復對身份驗證機制的信任至關重要。

　　CloudSEK在報告中表示：“此次攻擊的復雜性凸顯了在保護云環境方面持續面臨的挑戰，特別是在身份驗證系統方面。使用Oracle云服務的企業應將其視為需要立即采取行動的重大安全事件，無論他們是否已收到直接泄露通知。”