Nei giorni scorsi, un cybercriminale con lo pseudonimo “rose87168” ha pubblicato su un forum dedicato al leak di informazioni sul dark web un annuncio in cui sostiene di aver sottratto da un server di autenticazione di Oracle Cloud Infrastructure circa sei milioni di record contenenti chiavi di sicurezza dei clienti, credenziali criptate, voci LDAP e altre informazioni sensibili. Oracle ha smentito l’affermazione, negando ogni violazione sui suoi server e la sottrazione di dati dei clienti. Successivamente, però l’hacker ha inviato un campione di 10.000 righe di dati ad Alon Gal, co-fondatore e CTO della società di sicurezza Hudson Rock. Quest’ultimo ha contattato diversi clienti potenzialmente coinvolti e tre di loro hanno confermato che i dati forniti corrispondono effettivamente alle loro informazioni aziendali.

Un cliente ha dichiarato che i propri utenti sono inclusi nel campione e hanno accesso a informazioni sensibili. Un altro ha confermato che i dati provengono da un ambiente di produzione e risalgono al 2023, mentre il terzo cliente ha verificato la corrispondenza tra gli ID utente e tenant nel campione e quelli utilizzati nei loro sistemi.

Nonostante queste conferme, Oracle ha ribadito la propria posizione, negando qualsiasi furto di credenziali e dichiarando che nessun cliente ha subito una violazione o la perdita di dati.

attacchi malware

Crediti: Shutterstock

Tuttavia, rose87168 ha cercato di dimostrare il contrario anche creando un file di testo su un server pubblico di Oracle, contenente il proprio indirizzo e-mail come prova dell’intrusione. Inoltre, la società di sicurezza CloudSEK ha ipotizzato che l’attacco possa essere stato condotto sfruttando la vulnerabilità CVE-2021-35587 in Oracle Access Manager. Se confermato, ciò indicherebbe un grave errore di Oracle nel non applicare tempestivamente le patch di un proprio software sulla propria infrastruttura.

CloudSEK ha ricevuto lo stesso campione di dati da rose87168 e ha rilevato che oltre 1.500 organizzazioni potrebbero essere coinvolte. Dopo un’analisi approfondita, CloudSEK ha concluso che la struttura e il volume delle informazioni trafugate rendono estremamente improbabile una falsificazione dei dati, rafforzando la credibilità della presunta violazione.

Se i dati si rivelassero autentici, le implicazioni potrebbero essere gravi. Qualora riuscissero a decifrare i dati, gli attaccanti potrebbero infatti sfruttare certificati digitali, chiavi di sicurezza, password SSO e LDAP per orchestrare attacchi alla supply chain, campagne ransomware e altre minacce informatiche. Gli esperti di sicurezza consigliano alle aziende potenzialmente coinvolte di alternare immediatamente le proprie credenziali SSO e LDAP, adottare politiche di password robuste e abilitare l’autenticazione a più fattori (MFA).

(Immagine di apertura: Shutterstock)