Thought Leadership
Die Security-Firma CloudSEK berichtet darüber, dass ein Angreifer Zugriff auf Oracle-Cloud-Infrastruktur erlangt habe – Oracle dementiert aber vehement.
Die Sicherheitsfirma CloudSEK hat über ihre XVigil-Plattform einen mutmaßlichen schwerwiegenden Cyberangriff auf die Oracle Cloud aufgedeckt. Laut Bericht wurden dabei sechs Millionen Datensätze entwendet, was potenziell mehr als 140.000 Mandanten betreffen könnte. Ein als „rose87168“ identifizierter Angreifer soll hinter dem Angriff stecken und sensible Daten erbeutet haben – darunter JKS-Dateien, verschlüsselte SSO-Passwörter, Schlüsseldateien und Enterprise-Manager-JPS-Schlüssel. Diese Informationen werden laut Medienberichten bereits auf Breach Forums und anderen Darknet-Marktplätzen zum Verkauf angeboten.
Angreifer fordert Lösegeld
Nach Angaben von CloudSEK ist der Angreifer seit Januar 2025 aktiv und behauptet, die Subdomain login.us2.oraclecloud.com kompromittiert zu haben. Diese wurde mittlerweile abgeschaltet. Laut einem Screenshot der Wayback Machine vom 17. Februar 2025 lief auf der betroffenen Subdomain Oracle Fusion Middleware 11G. Der Täter fordert Lösegeldzahlungen von den betroffenen Mandanten für die Löschung ihrer Daten.
Wie Bleeping Computer berichtet, prahlte der Angreifer damit, eine Textdatei auf dem Oracle-Cloud-Login-Server erstellt zu haben. Diese Datei wurde Anfang März von der Internet Archive’s Wayback Machine archiviert und soll als Beweis für den kompromittierten Zustand der Systeme dienen. Die Textdatei enthält lediglich die E-Mail-Adresse der Person, die versucht, die angeblich gestohlenen Oracle-Cloud-Daten zu verkaufen.
Ausnutzung einer bekannten Sicherheitslücke?
Die Analyse von CloudSEK deutet darauf hin, dass der Angreifer möglicherweise eine verwundbare Version der Oracle-Cloud-Server kompromittiert hat. Als wahrscheinliche Einfallspforte nennen die Sicherheitsexperten die ältere Schwachstelle CVE-2021-35587, die Oracle Fusion Middleware (OpenSSO Agent) in den folgenden Versionen betrifft: 11.1.2.3.0, 12.2.1.3.0 und 12.2.1.4.0.
Diese Sicherheitslücke wurde im Dezember 2022 in den CISA-KEV-Katalog aufgenommen und ermöglicht es nicht authentifizierten Angreifern, den Oracle Access Manager zu kompromittieren, was potenziell zu einer vollständigen Übernahme führen kann. Dies deckt sich mit der Art der exfiltrierten Daten, die der Angreifer veröffentlicht hat. Die Ausnutzung könnte es Angreifern ermöglichen, ersten Zugriff auf die Umgebung zu erlangen und sich dann lateral innerhalb der Oracle-Cloud-Umgebung zu bewegen, um auf andere Systeme und Daten zuzugreifen.
Bei weiteren Untersuchungen wurde festgestellt, dass der Oracle Fusion Middleware Server zuletzt am 27. September 2014 aktualisiert wurde, was auf veraltete Software hinweist.
„Aufgrund mangelnder Patch-Management-Praktiken und/oder unsicherer Programmierung wurde die Schwachstelle in Oracle Fusion Middleware vom Angreifer ausgenutzt. Diese leicht ausnutzbare Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer mit Netzwerkzugriff über HTTP, den Oracle Access Manager zu kompromittieren“, erklärten CloudSEK-Forscher in einem Blogbeitrag.
Oracle weist Behauptungen entschieden zurück
Oracle hat jedoch eine Erklärung veröffentlicht, in der das Unternehmen jeglichen Angriff auf seine Cloud-Infrastruktur bestreitet: „Es gab keinen Angriff auf Oracle Cloud. Die veröffentlichten Zugangsdaten gehören nicht zur Oracle Cloud. Keine Oracle Cloud-Kunden haben einen Angriff erlebt oder Daten verloren.“ Diese Aussage steht damit in direktem Widerspruch zu den Erkenntnissen von CloudSEK und den Behauptungen des Angreifers.
