Fuite massive de 6 millions d’enregistrements d’Oracle Cloud : une attaque à la sécurité

Oracle étend ses capacités multicloud avec AWS, Google Cloud et Microsoft Azure
Share on Pinterest Share on LinkedIn

Fuite de Données Massives Affectant Oracle Cloud : Un Attaque Suspecte Révélée

Le jeudi 20 mars, un hacker connu sous le pseudonyme rose87168 a publié plusieurs fichiers texte contenant des bases de données d’échantillon, des informations LDAP et une liste d’entreprises qu’il prétend être victimes d’un vol massif de données depuis la plateforme SSO (Single Sign-On) d’Oracle Cloud.

Bien que le hacker fasse ces affirmations, Oracle a fermement nié avoir subi une violation de données, assurant que les informations publiées n’appartiennent pas à son infrastructure et qu’aucun client n’a perdu de données. Toutefois, la controverse s’intensifie après que rose87168 ait partagé des preuves supplémentaires suggérant que les données proviennent effectivement des serveurs d’Oracle.

La Négation d’Oracle et les Preuves du Hacker

Oracle a déclaré qu’il n’y avait eu aucune fuite dans ses systèmes, contestant les affirmations du hacker, qui propose déjà à la vente les données présumément volées, incluant 6 millions de registres, parmi lesquels figurent des centaines de domaines d’organisations en Amérique Latine. Pour soutenir ses prétentions, le hacker a partagé un lien vers l’Internet Archive, montrant qu’il avait uploadé un fichier .TXT contenant son adresse email ProtonMail sur le serveur de connexion d’Oracle : login.us2.oraclecloud.com.

Le hacker, rose87168, a également affirmé que les mots de passe SSO étaient chiffrés, mais pouvaient être déchiffrés à l’aide des fichiers disponibles, en plus des mots de passe hashés LDAP. Il a promis de lister tous les domaines des entreprises concernées et a proposé de supprimer des informations spécifiques en échange de paiements ou d’échanges d’exploits Zero-Day.

Examen de la Fuite

Le 25 mars, le hacker a partagé un échantillon de 10 000 lignes pour renforcer sa déclaration, ce qui a poussé les chercheurs à mener une analyse détaillée. Les conclusions les plus pertinentes sont les suivantes :

  1. Impact Étendu : L’échantillon de données contient des enregistrements de plus de 1 500 organisations, suggérant une fuite significative.
  2. Authenticité des Données : La structure et le volume de l’information filtrée compliquent la falsification, renforçant ainsi la validité de l’incident.
  3. Accès Possible à la Production : De nombreux enregistrements contiennent des IDs de locataire dans des formats tels que {tenant}-dev, {tenant}-test et {tenant}, suggérant que le hacker pourrait également avoir eu accès à des environnements de production.
  4. Exposition des Emails Personnels : La fuite inclut une quantité significative d’adresses email personnelles, probablement parce que les organisations permettent l’authentification SSO pour leurs employés et clients.

La société de cybersécurité CloudSek a mis à disposition un outil gratuit permettant aux organisations de vérifier si elles figurent sur la liste des victimes partagée par le hacker.

Vulnérabilité CVE-2021-35587 Exploitée

Le hacker a également souligné qu’Oracle Cloud utilise toujours une version vulnérable liée au CVE-2021-35587, une vulnérabilité critique dans l’Oracle Access Manager. Ce CVE, ayant reçu un score CVSS de 9,8, permet à un attaquant non authentifié de compromettre Oracle Access Manager, menant ainsi à l’exécution à distance de code (RCE) et à la prise de contrôle totale du système.

Le CVE-2021-35587 a été publié en janvier 2022 et impacte des versions d’Oracle Fusion Middleware telles que 11.1.2.3.0, 12.2.1.3.0 et 12.2.1.4.0, qui restent vulnérables à cette faille. Des exploits publics ont été développés depuis sa découverte, et le hacker a prétendu l’avoir utilisée pour accéder aux serveurs d’Oracle.

Confirmation de la Fuite

Les dénégations d’Oracle ont été contredites par des chercheurs ayant reçu des échantillons supplémentaires des données filtrées et confirmant l’authenticité de la fuite. Plusieurs représentants des entreprises affectées ont confirmé, de manière anonyme, que les informations incluses dans la fuite, telles que noms, adresses email et données LDAP, étaient exactes et leur appartenaient.

De plus, il a été confirmé que le hacker avait maintenu une communication avec Oracle, demandant un paiement en XMR (Monero) pour fournir des détails sur la façon dont ils ont exploité les serveurs d’Oracle. Un email échangé avec un employé d’Oracle, utilisant une adresse @proton.me, montre comment ils ont tenté de négocier avec l’entreprise après la fuite.

Actions d’Oracle et Conséquences

Oracle a déconnecté le serveur compromis après avoir été informé de la violation, et des experts en sécurité ont indiqué que l’Oracle Fusion Middleware 11g, affecté par le CVE-2021-35587, permettait aux attaquants de compromettre Oracle Access Manager et d’accéder à des informations sensibles. Cet incident souligne non seulement la gravité de la vulnérabilité, mais aussi l’urgence de mettre à jour et de corriger les systèmes critiques dans les environnements cloud.

Réflexion Finale

La fuite de données touchant Oracle Cloud expose la vulnérabilité des plateformes cloud et souligne l’importance de maintenir les systèmes à jour et protégés contre les cybermenaces. Cet incident met également en évidence la façon dont les violations de sécurité peuvent avoir des répercussions majeures, affectant des milliers d’organisations à l’échelle mondiale. Les entreprises doivent prendre des mesures préventives pour éviter de devenir des victimes de ce type de cyberattaque et atténuer les risques associés aux vulnérabilités connues, comme la CVE-2021-35587.

Sources : Segur Info, BC I, BC II, CloudSek I, CloudSek II.

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

Micron annonce des augmentations de prix sur toute sa gamme de mémoires DRAM, NAND et HBM pour 2025 et 2026

Arm lance une nouvelle initiative pour accélérer la migration vers des plateformes cloud basées sur son architecture.

Comparaison technique : ReFS vs NTFS dans des environnements professionnels et virtualisés

Le défi de réécrire le cœur numérique de la Sécurité Sociale : les États-Unis peuvent-ils abandonner COBOL sans provoquer le chaos ?

NVIDIA stimule le développement de l’IA physique avec des jumeaux numériques industriels et un mégadonnées ouvertes

AMD acquiert ZT Systems pour renforcer son leadership dans les solutions d’intelligence artificielle pour les centres de données.

© Copyright 1995-2024 Color Vivo Internet SLU. Otros contenidos se cita fuente. Infraestructura cloud servidores dedicados de Stackscale.