Posible Brecha de Seguridad en Oracle Cloud

A pesar de que Oracle niega haber sufrido una violación de seguridad en sus servidores de inicio de sesión SSO federados, varias empresas han confirmado la autenticidad de los datos filtrados. De acuerdo con BleepingComputer, un actor de amenazas conocido como "rose87168" asegura haber comprometido los servidores de Oracle Cloud, obteniendo credenciales y contraseñas cifradas de 6 millones de usuarios.

Detalles de la Supuesta Violación en Oracle Cloud

La semana pasada, rose87168 afirmó haber accedido a los servidores de Oracle Cloud y puso a la venta datos de autenticación, incluyendo:

✅ Credenciales SSO y LDAP cifradas
✅ Base de datos con información de usuarios
✅ Lista de 140,621 dominios de empresas y agencias gubernamentales

El actor de amenazas también aseguró que las contraseñas robadas podrían descifrarse utilizando información de los archivos filtrados. Para respaldar su afirmación, publicó en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta un archivo de texto alojado en el servidor "login.us2.oraclecloud.com", sugiriendo que tenía la capacidad de crear archivos en los servidores de Oracle.

Oracle Niega la Brecha de Seguridad

A pesar de la evidencia compartida, Oracle niega categóricamente cualquier vulnerabilidad en sus sistemas:

Citar"No ha habido ninguna violación de Oracle Cloud. Las credenciales publicadas no son para Oracle Cloud. Ningún cliente de Oracle Cloud experimentó una violación o perdió datos", declaró la empresa a BleepingComputer.

Sin embargo, esta declaración contradice los hallazgos de BleepingComputer, que recibió muestras adicionales de los datos filtrados y contactó a empresas afectadas, las cuales confirmaron la autenticidad de la información.

Pruebas y Comunicaciones del Actor de Amenazas

El actor de amenazas compartió correos electrónicos con BleepingComputer, en los cuales afirma haber contactado a Oracle para notificar la vulnerabilidad. En uno de estos correos, dirigidos al equipo de seguridad de Oracle ([email protected]), se menciona lo siguiente:

"He indagado en la infraestructura de su panel de control en la nube y encontré una vulnerabilidad masiva que me ha dado acceso completo a la información de 6 millones de usuarios".

Además, se reveló un intercambio de correos con una supuesta dirección de Oracle en ProtonMail, en la que se menciona que Oracle habría solicitado continuar la comunicación a través de un canal externo.

Vulnerabilidad en Oracle Fusion Middleware: Posible Punto de Entrada

La empresa de ciberseguridad Cloudsek identificó una URL en No tienes permitido ver enlaces. Registrate o Entra a tu cuenta que muestra que el servidor "login.us2.oraclecloud.com" ejecutaba Oracle Fusion Middleware 11g hasta el 17 de febrero de 2025. Este software contiene una vulnerabilidad crítica, rastreada como CVE-2021-35587, que permite a atacantes no autenticados comprometer Oracle Access Manager.

El actor de amenazas afirmó que utilizó esta vulnerabilidad para acceder a los servidores de Oracle. Tras la publicación de estos hallazgos, Oracle desconectó el servidor afectado.

En fin, aunque Oracle insiste en que no ha habido una brecha de seguridad, la evidencia compartida por investigadores y empresas afectadas sugiere lo contrario. La falta de respuestas por parte de Oracle y la eliminación del servidor comprometido aumentan las dudas sobre la transparencia del incidente.

Recomendación: Empresas y usuarios de Oracle Cloud deben reforzar la seguridad de sus credenciales, habilitar autenticación multifactor (MFA) y monitorear cualquier actividad sospechosa en sus cuentas.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta