Oracle顧客、クラウド侵害によりデータが流出したことは事実だと確認

 (bleepingcomputer.com)
2 ポイント 投稿者 GN⁺ 2025-03-28 | 1件のコメント | WhatsAppで共有
  • OracleはOracle CloudのSSOログインサーバー侵害と600万人分のアカウントデータ盗難を否定したが、複数の企業への確認を通じて、脅威アクターが共有したデータサンプルは有効であることが確認された
  • rose87168という人物がOracle Cloudサーバーを侵害したと主張し、600万人のユーザーに関する認証データと暗号化されたパスワードを販売し始めた。この脅威アクターは、盗まれたSSOおよびLDAPパスワードを復号できると主張し、それを復旧するのを手伝ってくれる人にデータを共有すると提案している。
  • 脅威アクターは、データベース、LDAPデータ、そして侵害の影響を受けたとみられる企業および政府機関の140,621件のドメイン一覧を含む複数のテキストファイルを公開した。一部の企業ドメインはテスト用とみられ、企業ごとに複数のドメインが存在する。
  • 脅威アクターはBleepingComputerに、login.us2.oraclecloud.comサーバーでホストされていたテキストファイルのArchive.org URLを共有した。このファイルは、脅威アクターがOracleサーバー上にファイルを作成できたことを示しており、実際の侵害を示唆している。
  • しかしOracleは、Oracle Cloudへの侵害はなかったと否定し、この件に関する追加の質問には回答していない。OracleはBleepingComputerに対し、「Oracle Cloudへの侵害はなかった。公開された認証情報はOracle Cloudのものではない。Oracle Cloudの顧客は侵害やデータ損失を経験していない」と述べた。
  • この否定はBleepingComputerの確認結果と矛盾している。BleepingComputerは脅威アクターから追加サンプルを受け取り、関係企業に連絡してデータの真偽を確認した。匿名を条件にデータを確認した各社の代表者は、LDAP表示名、メールアドレス、氏名などの識別情報が正確であり、自社のものであると確認した。
  • 脅威アクターは、Oracleとのメールのやり取りをBleepingComputerに共有した。あるメールでは、脅威アクターがOracleのセキュリティ用メールアドレス(secalert_us@oracle.com)にサーバーハッキングを報告している。
  • 別のメールのやり取りでは、脅威アクターはOracleの@proton.meメールアドレスを使う人物との会話を共有した。BleepingComputerはこのメールアドレスの身元やメールのやり取りの真正性を確認できなかったため、メールアドレスを削除した。
  • サイバーセキュリティ企業Cloudsekは、login.us2.oraclecloud.comサーバーが2025年2月17日時点でOracle Fusion Middleware 11gを実行していたことを示すArchive.orgのURLを発見した。Oracleは侵害の報道後、このサーバーをオフラインにした。
  • このソフトウェアのバージョンは、CVE-2021-35587として追跡されている脆弱性の影響を受けており、認証されていない攻撃者がOracle Access Managerを侵害できる可能性がある。脅威アクターは、この脆弱性がOracleサーバー侵害に使われたと主張している。
  • BleepingComputerはこの情報についてOracleに複数回メールを送ったが、回答は得られなかった。

関連記事

1件のコメント

 
GN⁺ 2025-03-28
Hacker Newsの意見
  • BleepingComputerが複数の企業に確認した結果、脅威アクターが共有したデータサンプルは有効だった
  • rose87168がBleepingComputerにArchive.orgのURLを共有しており、このURLにはlogin.us2.oraclecloud.comサーバーでホストされているテキストファイルが含まれている。このファイルは、脅威アクターがOracleサーバー上にファイルを作成できたことを示しており、実際の侵害を示唆している
  • Oracleは最初から正当性を認めるべきだった
  • 侵害に対する実質的な罰則はなく、嘘をつくことのほうが侵害そのものよりPR上の打撃が大きくなりうる
  • Oracleが2021年時点で既知の脆弱性がある製品にログインゲートウェイをホストしていたという事実だけでも、かなり不安だ
  • 明白な証拠があるにもかかわらずOracleが侵害を否定するのは、いかにもOracleらしい
  • Oracleのクラウド製品を使っている層が気になるが、彼らについての話は長期的な苦痛を示唆している
  • 今回の件は、彼らの製品に対する信頼を高める助けにはならない
  • Oracleを運用したことがあれば、なぜパッチが当たっていないのか理解できるだろう。彼らは簡単にはしてくれない
  • 脅威アクターは、Oracleの@proton.meメールアドレスを使う人物から「あなたのメールを受け取った。今後はこのメールを使おう。受け取ったら知らせてくれ」というメッセージを受け取ったと主張している
  • メールは、ほとんどの上場企業で一定期間(7年?)保存しなければならない情報源の1つだ。おそらく記録を避けようとしたのだろう
  • データ侵害は残念ながら株価に影響しない。Oracle製品を使っている企業がすぐに移行する可能性は低い
  • 将来の販売には影響するかもしれず、一部の小規模企業は移行するかもしれない。しかしOracleはこれを最大限に矮小化するだろう
  • 「否認。遅延。防御。」は医療保険のスローガンだけではない
  • Oracle Opera CloudとOracle NetSuite Cloudの顧客データも盗まれたのか気になる。世界中の多くのホテルがOpera + NetSuiteを使っている
  • 10年前、上位3社の保険ブローカーの1社で「サイバー」保険が導入されたころに働いていた。Oracleの保険を誰が引き受けていたのか、そのタワーでどれほどのコストが発生したのか気になる。保険はなかったのだろうか。D&Oが株主訴訟をカバーできることを願う。政権との近い関係もあり、ルールの解釈には余地がある
  • Tyler Technologiesは、カリフォルニアで封印された事件を露出させた件についてJudyrecords.comを非難し、自社の欠陥ある難読化システムが原因だったにもかかわらずセキュリティ侵害だと主張した。責任逃れだ
  • 侵害対応のルールその1は、メールに「侵害」という単語を書かないことだ。だから彼らは自社ドメインの外で議論したのだろうと推測される
  • Oracleがどれくらい長くこれを否定していたのか気になる。3日間か?
  • LarryとTrumpは親密な関係にある。Oracleは、あるいはそうすべきだが、OCIとSaaSのCISOを解任するだろう