Nella serata di ieri, 21 marzo 2025, durante una delle consuete esplorazioni nel sottobosco del web di DarkLab, ci siamo inbattuti in una notizia che potrebbe far tremare i polsi a molti amministratori IT: un presunto attacco alla Oracle Cloud.

Da quanto riportato successivamente da CloudSek, sembrerebbe che ci sia stata l’esfiltrazione presunta di 6 milioni di record, coinvolgendo oltre 140.000 tenant. Un grande bottino di informazioni qualora queste confermate da Oracle.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

La pubblicazione si Breach Forums

Il tutto è partito da un post su un forum underground, dove un utente con lo pseudonimo “rose87168” ha dichiarato di aver violato l’endpoint di login della Oracle Cloud (login.(region-name).oraclecloud.com), ottenendo accesso a dati sensibili come file JKS, password SSO criptate, file chiave e chiavi JPS dell’enterprise manager.

Non contento, il nostro “amico” ha messo in vendita questi 6 milioni di record, offrendo persino incentivi a chi lo aiutasse a decriptare le password SSO o a craccare quelle LDAP.

Oracle, dal canto suo, ha prontamente smentito qualsiasi violazione. In una dichiarazione rilasciata a BleepingComputer, l’azienda ha affermato: “Non c’è stata alcuna violazione di Oracle Cloud. Le credenziali pubblicate non appartengono a Oracle Cloud. Nessun cliente di Oracle Cloud ha subito una violazione o ha perso dati.”

Tuttavia, alcune analisi indipendenti sembrerebbero suggerire il contrario. Ad esempio, Kudelski Security ha riportato che il threat actor ha condiviso URL dell’Internet Archive come prova del suo accesso ai server Oracle Cloud, caricando un file .txt contenente il suo indirizzo email su login.us2.oraclecloud.com.

Inoltre, su Reddit, nella community r/blueteamsec, diversi utenti hanno discusso dell’incidente, sottolineando come potrebbe aver coinvolto le tradizionali login OCI, ma non l’IDCS, suggerendo di ruotare le credenziali il prima possibile.

Cosa è importante fare ora

In attesa di ulteriori conferme o smentite, è consigliabile per tutti gli amministratori e i responsabili della sicurezza:

• Monitorare attentamente i propri sistemi per attività sospette.
• Aggiornare regolarmente le password e implementare l’autenticazione multi-fattore (MFA).
• Verificare se le proprie credenziali sono state compromesse utilizzando strumenti come quelli messi a disposizione da CloudSEK.

Ricordiamoci sempre che, in un mondo digitale in continua evoluzione, la prudenza non è mai troppa.

L'articolo Oracle è stata Violata? Il giallo della compromissione di 140.000 tenant Cloud proviene da il blog della sicurezza informatica.