El 21 de marzo la compañía de ciberseguridad CloudSEK reportó un grave incidente que afecta a los sistemas de autenticación de Oracle Cloud. Un atacante identificado como "rose87168", afirmó haber robado 6 millones de registros, poniendo en riesgo a más de 140.000 clientes de Oracle Cloud. Esta brecha ha generado grandes preocupaciones al tratarse de la exposición de una gran cantidad de datos confidenciales almacenados dentro del entorno de Oracle Cloud y requiere una respuesta inmediata por parte de los usuarios de estos servicios de nube.
¿Qué sucedió exactamente?
El actor de amenazas "rose87168" anunció la venta de los datos robados en la dark web, alegando haber explotado la vulnerabilidad CVE-2021-35587 en la infraestructura de inicio de sesión de Oracle Cloud, específicamente en login.(nombre-de región).oraclecloud.com. Los datos comprometidos incluirían:
- Archivos Java Key Store (JKS): Almacenan claves y certificados criptográficos para aplicaciones Java y su robo podría permitir el descifrado de información sensible.
- Contraseñas SSO cifradas: Contraseñas para inicio de sesión único, cuyo robo podría facilitar el acceso no autorizado a múltiples sistemas.
- Contraseñas LDAP cifradas: Contraseñas para autenticación de directorio, cuyo robo podría permitir el acceso no autorizado a redes y recursos.
- Claves JPS de Enterprise Manager: Claves para gestionar acceso y cifrado en Oracle Enterprise Manager, cuyo robo podría comprometer la administración de la seguridad.
El atacante está extorsionando a las organizaciones afectadas para evitar la divulgación de los datos.
Consideraciones relevantes a tener en cuenta
Oracle sostiene que sus sistemas son seguros y que no ha habido filtración de datos de clientes. Además, señala que las contraseñas SSO y LDAP están cifradas. Sin embargo, es de conocimiento público que el atacante está ofreciendo recompensas por descifrarlas, lo que representa un riesgo futuro.
A pesar de la postura de Oracle, los usuarios de Oracle Cloud deben actuar para protegerse:
- Cambio urgente de credenciales:
- Cambiar todas las contraseñas, especialmente las de cuentas con privilegios.
- Implementar contraseñas robustas y obligar a cambiarlas con frecuencia.
- Activar la autenticación multifactor (MFA) para mayor seguridad.
- Monitoreo de seguridad avanzado:
- Implementar herramientas de monitoreo de seguridad para detectar accesos no autorizados o actividades sospechosas.
- Revisar registros y auditorías en busca de anomalías.
- Evaluación de vulnerabilidades:
- Realizar una auditoría de seguridad de las configuraciones de Oracle Cloud.
- Asegurarse de que todos los sistemas estén actualizados contra vulnerabilidades, especialmente CVE-2021-35587.
- Plan de respuesta a incidentes:
- Revisar y actualizar el plan de respuesta a incidentes para brechas de seguridad.
- Preparar al equipo para responder rápidamente a incidentes de seguridad.
- Colaboración:
- Escalar la consulta y preocupación a Oracle con el fin de que se garantice la no exposición de su información.
- Trabajar con el equipo de seguridad de Oracle para evaluar la exposición y aplicar correcciones.
Referencias:
- https://www.cloudsek.com/blog/the-biggest-supply-chain-hack-of-2025-6m-records-for-sale-exfiltrated-from-oracle-cloud-affecting-over-140k-tenants
- https://www.cloudsek.com/blog/part-2-validating-the-breach-oracle-cloud-denied-cloudseks-follow-up-analysis
- https://socradar.io/oracle-cloud-security-incident-by-rose87168/