Thought Leadership
Der US-amerikanische Softwarekonzern Oracle hat gegenüber ausgewählten Kunden eingeräumt, dass Angreifer nach einer Kompromittierung einer „Legacy-Umgebung“ Kundenzugangsdaten entwendet haben. Dies berichtet Bloomberg.
Während Oracle den betroffenen Kunden mitteilte, es handele sich um unkritische Altdaten, zeigen Recherchen von BleepingComputer ein anderes Bild: Der hinter dem Angriff stehende Akteur teilte mit dem IT-Sicherheitsportal Datensätze vom Ende des Jahres 2024. Zudem wurden in einem Hacker-Forum neuere Datensätze aus dem Jahr 2025 veröffentlicht.
Details zum Angriff
Das Cybersicherheitsunternehmen CybelAngel enthüllte zuerst, dass Oracle Kunden über einen Angreifer informierte, der bereits seit Januar 2025 Zugriff auf die Oracle Gen 1 Server (auch bekannt als Oracle Cloud Classic) erlangt hatte. Dabei kam eine Java-Schwachstelle aus dem Jahr 2020 zum Einsatz, um eine Webshell und weitere Schadsoftware zu installieren.
Während des im späten Februar entdeckten Einbruchs soll der Angreifer Daten aus der Oracle Identity Manager (IDM) Datenbank exfiltriert haben, darunter E-Mail-Adressen, gehashte Passwörter und Benutzernamen.
Ein Akteur mit dem Pseudonym „rose87168“ hatte am 20. März auf der Plattform BreachForums sechs Millionen Datensätze zum Verkauf angeboten. Als Beweis für die Echtheit der Daten veröffentlichte der Angreifer mehrere Textdateien mit Beispieldatenbanken, LDAP-Informationen und Unternehmenslisten – allesamt angeblich von Oracles föderierter SSO-Login-Infrastruktur entwendet.
Oracles Dementi
Auf Nachfrage zur Echtheit der geleakten Daten hatte Oracle gegenüber BleepingComputer noch erklärt: „Es gab keinen Einbruch in die Oracle Cloud. Die veröffentlichten Zugangsdaten sind nicht für die Oracle Cloud. Keine Oracle Cloud-Kunden haben einen Einbruch erlebt oder Daten verloren.“
Oracle bestritt die Vorwürfe selbst dann, nachdem eine archivierte URL zeigte, dass der Angreifer eine Datei mit seiner E-Mail-Adresse auf einen Oracle-Server hochgeladen hatte. Diese URL wurde später von Archive.org entfernt, wobei jedoch ein Archiv des Archivs weiterhin existiert.
Wenige Tage später bestätigten jedoch mehrere Unternehmen, dass zusätzliche Beispiele der geleakten Daten (einschließlich zugehöriger LDAP-Anzeigenamen, E-Mail-Adressen, Vornamen und weiterer Identifikationsmerkmale) vom Angreifer valide waren.
Oracles Wortspiel mit „Cloud Classic“
Oracle hat seit Bekanntwerden des Vorfalls konsequent Berichte über einen Einbruch in die Oracle Cloud in öffentlichen Stellungnahmen dementiert. „Oracle hat alte Oracle Cloud-Dienste in Oracle Classic umbenannt. Oracle Classic hat den Sicherheitsvorfall“, bestätigte der Cybersicherheitsexperte Kevin Beaumont in einem Beitrag auf medium.com. „Oracle leugnet es bei ‚Oracle Cloud‘ durch diese Eingrenzung – aber es sind immer noch Oracle-Cloud-Dienste, die Oracle verwaltet. Das ist Teil des Wortspiels.“ Gute Krisenkommunikation geht wahrlich anders.
Zweiter Vorfall: Einbruch bei Oracle Health
Vergangene Woche informierte Oracle zudem Kunden über einen Einbruch bei dem Software-as-a-Service (SaaS)-Unternehmen Oracle Health (ehemals Cerner), von dem mehrere US-amerikanische Gesundheitsorganisationen und Krankenhäuser betroffen sind.
Obwohl das Unternehmen diesen Vorfall nicht öffentlich bekannt gegeben hat, wurde bestätigt, dass bei dem Angriff Patientendaten gestohlen wurden. Dies geht aus der privaten Kommunikation zwischen Oracle Health und betroffenen Kunden sowie aus Gesprächen mit Beteiligten hervor.
Oracle Health gab an, den Einbruch in die Legacy-Datenmigrationsserver von Cerner am 20. Februar 2025 entdeckt zu haben. Die Angreifer hätten kompromittierte Kundenzugangsdaten genutzt, um nach dem 22. Januar 2025 in die Server einzudringen.
