Groot aantal klanten Oracle Cloud slachtoffer datalek

[Captain Kirk]

Een groot aantal klanten van Oracle Cloud is slachtoffer van een datalek geworden, zo stelt securitybedrijf CloudSEK. Oracle ontkent en stelt dat er geen inbraak in de clouddienst heeft plaatsgevonden. Vorige week verscheen op een internetforum een bericht van iemand die claimde zes miljoen records uit Oracle Cloud te hebben gestolen. Het zou onder andere gaan om JKS-bestanden, versleutelde SSO- en LDAP-wachtwoorden, key files en enterprise manager JPS keys. Volgens het bericht was de data afkomstig van 140.000 'tenants' van Oracle Cloud.

De aanvaller claimde het subdomein login.us2.oraclecloud.com te hebben gecompromitteerd. Vervolgens zou er misbruik zijn gemaakt van een kwetsbaarheid in Oracle Fusion Middleware voor het verder compromitteren van servers en het stelen van de data. Tegenover CNBC stelde Oracle dat er geen inbraak op Oracle Cloud had plaatsgevonden en de gepubliceerde credentials niet voor Oracle Cloud waren en Oracle Cloud-klanten niet te maken hadden gekregen met een inbraak op hun cloudomgeving of diefstal van data.

CloudSEK berichtte over de aanval en heeft inmiddels een uitgebreidere analyse van de situatie gepubliceerd. Daarin stelt het securitybedrijf dat aanvallers erin zijn geslaagd een SSO-endpoint te compromitteren om zo gevoelige SSO- en LDAP-data van 140.000 gebruikers te stelen. Het securitybedrijf baseert dit naar eigen zeggen op verschillende aanwijzingen, waaronder dat het gebruikte domein een productie SSO-setup was en de domeinen die de aanvaller deelde daadwerkelijk van klanten zijn. Daarnaast wordt er ook gewezen naar een uitgebreidere dataset die de aanvaller in de tussentijd heeft gedeeld.

 

bron: https://www.security.nl