Oracle neagă compromiterea serverelor cloud pentru SSO, deși unii clienți confirmă validitatea datelor expuse de un atacator. Există posibilitatea ca datele să afecteze mai multe companii românești, inclusiv din sectorul bancar și retail.
Infirmarea incidentului vine în urma unei postări de la un cibercriminal cunoscut sub pseudonimul „rose87168“, care susține că a obținut acces la panoul de control al serviciului Oracle Cloud și a sustras date de autentificare a 6 milioane de clienți.
Serverele SSO (Single Sign-on) federate fac parte dintr-un ansamblu în care informațiile de autentificare sunt stocate în sisteme separate de management al identității (IDM). Federația de identitate permite sistemului Oracle Identity Management să delege autentificarea utilizatorului către un furnizor de identitate extern.
Date de autentificare de la companii românești
Pe 20 martie, presupusul atacator a publicat o listă cu peste 140.000 de domenii aparținând unor companii care ar putea fi afectate de breșă. Potrivit lui Bogdan Albei – deținătorul firmei de servicii de securitate IT Stop Ransomware, lista cuprinde „aproximativ 450 de companii din România”.
Din verificările Hackuritate.ro, unele domenii românești (.ro) se regăsesc atât în lowercase cât și uppercase, iar câteva aparțin unor companii de top sau binecunoscute la nivel local și regional din sectorul retail, bancar, telecomunicații și HORECA, precum și organizații din zona educațională, wellness, servicii IT și afaceri mijlocii.
Trebuie menționat că o parte semnificativă a domeniilor verificate nu mai sunt în prezent accesibile, fie pentru că aparțin unei companii care nu mai este activă, a fuzionat, sau a fost achiziționată.
Într-o postare pe un forum de hackeri, rose87168 a pus la vânzare presupusele date de autentificare SSO în formă criptată, menționând că pot fi decriptate folosind informația furată pe care o pune la dispoziție.
Cibercriminalul a mai spus și că are hash-uri LDAP (Lightweight Directory Access Protocol), care ar putea fi transformate în plaintext folosind tehnici de cracking.
LDAP este un protocol care permite accesul la un serviciu director ordonat și distribuit pentru a căuta diverse informații într-un mediu de rețea. În contextul datelor Oracle, acesta se referă la un director de utilizatori.
Expunerea datelor poate avea un impact semnificativ asupra utilizatorilor și companiilor care depind de platforma Oracle Cloud pentru operațiunile zilnice. Riscurile includ compromiterea securității informațiilor confidențiale, pierderi financiare, și impact asupra reputației.
Oracle a declarat pentru mai multe publicații că în urma unei investigații amănunțite nu a găsit nicio dovadă a unei breșe de securitate a sistemelor sale cloud.
Compania a mai spus că datele de autentificare publicate de către rose87168 nu sunt pentru Oracle Cloud și că niciunul dintre clienții serviciului nu au suferit o breșă de securitate și nici nu au pierdut date.
Clienții confirmă validitatea datelor expuse
În ciuda infirmării incidentului de către Oracle, există clienți care au confirmat că mostrele prezentate de rose87168 sunt autentice, recunoscând în calupul de date expus detalii identificatoare precum adrese de email, nume de utilizator și de clienți LDAP.
Totuși, pentru a demonstra că are acces la sistemul Oracle Cloud, atacatorul a încărcat pe serverul “login.us2.oraclecloud.com” un fișier text conținând adresa sa de email.
Conform BleepingComputer, atacatorul a raportat breșa către Oracle trimițând un mesaj echipei de securitate a companiei ([email protected]):
„Am accesat tabloul de comandă al infrastructurii de cloud și am găsit o vulnerabilitate severă care mi-a permis acces complet la informația a 6 milioane de utilizatori” – rose87168
Compania de securitate informatică Cloudsek a găsit un indiciu care ar putea oferi o explicație despre cum s-ar fi putut produce breșa: pe 17 februarie, serverul login.us2.oraclecloud.com rula o versiune vulnerabilă de Oracle Fusion Middleware (11g), o suită de produse software pentru dezvoltarea de aplicații.
Oracle Fusion Middleware 11g este pe lista produselor afectate de vulnerabilitatea critică CVE-2021-35587, ce poate fi exploatată fără a fi nevoie de autentificare pentru a compromite Oracle Access Manager – un produs de gestionare a accesului securizat la cloud extern și aplicații.
O altă confirmare că datele expuse de rose87168 sunt autentice și sunt din medii de producție, nu de test, vine de la Alon Gal, fondatorul Hudson Rock – o companie ce oferă soluții de protecție bazate pe informații colectate din malware de tip infostealer.
Gal spune că a obținut de la atacator o mostră cu 10.000 de intrări cu date de la peste 1.500 de organizații. Cel puțin trei clienți Hudson Rock au recunoscut că informația aparține organizației lor, unul dintre ei spunând că unii utilizatori listați în mostră au acces la date sensibile, indicând că nu aparțin unor medii de testare, ci de producție.
În unul dintre cazuri, clientul a spus că informația este mai veche, dar era de pe sistemele de producție. Un altul a spus că utilizatorii și ID-urile organizației sunt reale și legate de sistemele de producție.
Măsuri de mitigare a riscului
Chiar dacă Oracle infirmă oficial o breșă de securitate în infrastructura cloud, faptul că mai mulți clienți au confirmat că datele expuse sunt autentice impune măsuri de securitate pentru mitigarea riscurilor, iminente sau potențiale.
Compania de securitate cibernetică Cloudsek, care a publicat două analize ([1], [2]) a presupusei breșe, recomandă un set de acțiuni pe care companiile afectate le pot urma pentru a se proteja de eventuale atacuri ulterioare din partea altor cibercriminali.
Companiile sunt sfătuite să schimbe imediat credențialele (SSO, LDAP și parolele asociate) în acord cu politicile de creare a parolelor puternice și activarea protecției “autentificare în mai mulți pași” (MFA – multi-factor authentication).
Demararea unei investigații a incidentului ar putea identifica un posibil acces neautorizat ce ar declanșa activități pentru minimizarea riscurilor ce ar putea rezulta.
Pentru a preveni eventuale riscuri, companiile ar trebui să găsească o modalitate pentru a monitoriza mediile frecventate de hackeri pentru informații referitoare la datele expuse.
