Sicherheitsforscher von CloudSEK haben alarmierende Neuigkeiten enthüllt: Im Darknet sind sensible Daten von etwa 140.000 Oracle-Kunden im Angebot. Diese Informationen stammen mutmaßlich aus einem Cyberangriff, welcher von Oracle jedoch als nicht existent eingestuft wird.

Ein Sprecher von Oracle teilte der IT-Nachrichten-Plattform Bleepingcomputer mit, dass das Unternehmen keinen IT-Sicherheitsvorfall festgestellt habe. Diese Aussage steht jedoch im starkem Widerspruch zu den Berichten von CloudSEK, die die These der Sicherheitsexperten untermauern.

Laut diesen Berichten hat ein Nutzer mit dem Pseudonym "rose87168" in einem Untergrundforum ein umfassendes Datenpaket mit 6 Millionen Einträgen, die persönliche Informationen von 140.000 Oracle-Kunden beinhalten, zum Verkauf angeboten. Die Sicherheitsforscher behaupten, mit dem Datenanbieter in Kontakt gewesen zu sein.

Der Angreifer soll sich über eine Sicherheitslücke Zugang zu oraclecloud.com verschafft haben. Dabei wurden möglicherweise auch verschlüsselte SSO-Passwörter gestohlen. Er fordert die Community auf, die Passwörter zu knacken und führt eine Liste mit betroffenen Unternehmen, zu denen er die betroffenen Dienste gegen Gebühr zurückgeben möchte.

Beunruhigende Details

Um seine Behauptungen zu untermauern, präsentierten die Sicherheitsforscher einen Beweis dafür, dass die mittlerweile abgeschaltete Subdomain login.us2.oraclecloud.com kompromittiert wurde. Eine URL führt zu einer Textdatei auf dem Oracle-Server, die die E-Mail-Adresse des Cyberkriminellen enthält, die noch über die Wayback Machine abgerufen werden kann.

Zusätzlich fanden die Sicherheitsforscher heraus, dass auf dem Server Fusion Middleware 11g mit einem Patchstand von Ende September 2014 installiert war. Dies lässt darauf schließen, dass die Angreifer eine als "kritisch" eingestufte Sicherheitslücke (CVE-2021-35587) im OpenSSO Agent ausnutzten. Diese Schwachstelle kann relativ einfach und ohne Authentifizierung über das Netzwerk angegriffen werden.

Ob Oracle die Bedrohung ernst nimmt und entsprechende Maßnahmen ergreift, bleibt abzuwarten. Die Sicherheitslage und den Schutz der Nutzerdaten rund um Oracle werden in den kommenden Tagen sicherlich intensiver beobachtet. Bleiben Sie dran für weitere Updates!