Sicherheitsforscher von CloudSEK berichten, dass im Darknet sensible Daten von rund 140.000 Oracle-Kunden zum Verkauf stehen. Diese Informationen sollen aus einer Cyberattacke stammen. Dem Hard- und Softwarehersteller zufolge hat es keinen IT-Sicherheitsvorfall gegeben.
Das versicherte ein Oracle-Sprecher der IT-Nachrichtenwebsite Bleepingcomputer. Die Antwort auf eine Anfrage von heise security steht derzeit noch aus. Diese Stellungnahme steht konträr zu den Aussagen der Sicherheitsforscher in ihrem Bericht.
Darin führen sie aus, dass ein Nutzer mit dem Pseudonym "rose87168" in einem Untergrundforum ein Datenpaket mit 6 Millionen Einträgen mit persönlichen Daten von 140.000 Oracle-Kunden zum Verkauf anbietet. Die Sicherheitsforscher geben an, mit dem Anbieter der Daten gesprochen zu haben.
Sie führen aus, dass der Angreifer sich über eine Sicherheitslücke Zugang zu oraclecloud.com verschafft haben könnte. Dabei soll er Daten wie verschlüsselte SSO-Passwörter kopiert haben. Er ruft nun zum Knacken der Kennwörter auf und stellt eine Belohnung in Aussicht. Auf X hat er den Forschern zufolge eine Liste mit betroffenen Unternehmen angelegt. Diese können sich beim ihm melden, sodass er ihre Daten gegen eine Gebühr entfernt.
Als Beweis, dass er die mittlerweile offline genommene Subdomain login.us2.oraclecloud.com kompromittiert hat, führen die Sicherheitsforscher eine URL auf, die zu einer Textdatei mit der Mailadresse des Cyberkriminellen auf dem Oracle-Server führt. Diese Adresse ist noch über die Waybackmachine zugänglich.
Aus dem Waybackmachine-Eintrag geht den Forschern zufolge außerdem hervor, dass auf dem Server Fusion Middleware 11g mit einem Patchstand Ende September 2014 lief. Demzufolge schätzen die Forscher ein, dass das Einfallstor eine "kritische" Sicherheitslücke (CVE-2021-35587) im OpenSSO Agent war. Diese Schwachstelle lasse sich mit vergleichsweise wenig Aufwand ohne Authentifizierung über das Netzwerk ausnutzen.
Nun bleibt abzuwarten, wie Oracle den Vorfall weiter kommentiert.
(
Kommentare