Varovanie pre používateľov Oracle Cloud – únik 6 miliónov záznamov

Národné centrum kybernetickej bezpečnosti varuje pred možnou kompromitáciou cloudovej infraštruktúry spoločnosti Oracle s dosahom na prevádzkovateľov základnej služby na Slovensku. Dňa 21. marca 2025 bola zaznamenaná bezpečnostná udalosť, pri ktorej doposiaľ neznámy útočník s prezývkou rose87168 informoval o získaní prístupu k federovaným autentifikačným serverom Oracle Cloud a odcudzení približne 6 miliónov záznamov údajov používateľských účtov​.

Uniknuté dáta údajne zahŕňajú súbory Java Key Store (JKS), zašifrované heslá a tokeny zo služby Single Sign-On (SSO) Oracle, ako aj ďalšie citlivé kľúče a informácie z adresárových služieb LDAP​. Podľa tvrdení útočníka bolo incidentom dotknutých vyše 140 000 klientských organizácií (tenantov) využívajúcich Oracle Cloud​.

Hoci spoločnosť Oracle akékoľvek narušenie bezpečnosti oficiálne popiera a uvádza, že k žiadnemu prieniku do Oracle Cloud nedošlo a zverejnené prihlasovacie údaje nepatria službe Oracle Cloud​, existuje viacero dôkazov, ktoré naznačujú opak. Útočník zverejnil dôkaz svojho prístupu vo forme textového súboru nahratého priamo na Oracle server (subdoména login.us2.oraclecloud.com), čo potvrdzuje, že mal schopnosť vytvárať súbory na serveri v Oracle Cloud​. Bezpečnostní výskumníci – spoločnosti CloudSEK a Hudson Rock – disponujú vzorkami uniknutých dát (vrátane zoznamu dotknutých domén) a kontaktovali viaceré organizácie v tomto zozname; viacero oslovených subjektov následne potvrdilo, že poskytnuté údaje (mená používateľov, e-mailové adresy, identifikátory a pod.) zodpovedajú skutočným záznamom v ich interných systémoch​.

Technické analýzy ďalej poukazujú na konkrétny vektor útoku. CloudSEK zistil, že kompromitovaný autentifikačný server Oracle bežal na staršej verzii Oracle Fusion Middleware 11g, ktorá obsahovala kritickú zraniteľnosť CVE-2021-35587, umožňujúcu neautentifikovanému útočníkovi vzdialene prevziať kontrolu nad komponentom Oracle Access Manager​. Útočník uvádza, že práve túto známu zraniteľnosť využil na prienik; po medializácii incidentu spoločnosť Oracle uvedený server odpojila.

Na základe týchto zistení SK-CERT predpokladá, že na základe viacerých technických a spravodajských indikátorov je oprávnené predpokladať, že k incidentu skutočne došlo, a to aj napriek jeho oficiálnemu popretiu zo strany Oracle. Národné centrum kybernetickej bezpečnosti preto odporúča dotknutým organizáciám prijať nasledovné opatrenia:

  • Vykonať hĺbkovú kontrolu bezpečnostných logov a konfigurácie cloudovej infraštruktúry (najmä Oracle Cloud tenantu) za účelom odhalenia prípadných známok kompromitácie.
  • Bezodkladne resetovať všetky heslá a prístupové tokeny (API kľúče a pod.) pre účty v Oracle Cloud, predovšetkým pre privilegované účty a účty spravujúce identity (SSO/LDAP administrátorské účty).
  • Preveriť, či nevyužívate iné Oracle služby (napríklad support.oracle.com) a vykonať reset všetkých hesiel a prístupových tokenov.
  • Zaviesť viacfaktorovú autentifikáciu na všetkých službách, ktoré ju podporujú.
  • Overiť, či sa doména vašej organizácie alebo iné identifikátory nenachádzajú v zozname kompromitovaných entít – využiť dostupné nástroje na kontrolu. Spoločnosť CloudSEK zverejnila špecializovaný online checker pre tento incident​ na adrese https://exposure.cloudsek.com/oracle.
  • Pri akomkoľvek podozrení alebo potvrdení kompromitácie v súvislosti s týmto incidentom nahlásiť túto skutočnosť SK-CERT (NCKB).
  • V prípade preukázaného neautorizovaného prístupu do produkčnej infraštruktúry pristúpiť k úplnej odozve na incident – izolovať a forenzne analyzovať postihnuté systémy, zabezpečiť eradikáciu útočníka, obnoviť systémy do bezpečného stavu a implementovať nápravné opatrenia (vrátane informovania dotknutých partnerov alebo zákazníkov, ak je to relevantné).

Organizácie, ktoré spozorujú príznaky kompromitácie svojich systémov v súvislosti s týmto incidentom, žiadame aby o tom bezodkladne informovali SK-CERT a poskytli súčinnosť pri riešení incidentu.

Zdroje


« Späť na zoznam
Aktuálne hrozby
všetky oznámenia
Odkazy