Presunta Exfiltración de Datos en Oracle Cloud

El 21 de Marzo, 2025 se notifica por diferentes fuentes un supuesto hackeo a Oracle Cloud, donde el actor de amenazas "rose87168" afirma haber exfiltrado 6 millones de registros de SSO y LDAP, afectando a más de 140,000 empresas a nivel mundial. Los datos incluyen archivos JKS, contraseñas SSO cifradas, claves y archivos de administradores. La vulnerabilidad se atribuye a una versión “no parchada” de Oracle Fusion Middleware (CVE-2021-35587). De momento Oracle niega cualquier violación de seguridad. El atacante busca vender los datos y ofrecer servicios de eliminación mediante pago.


Venta de datos de Oracle Cloud supuestamente robados.

El actor de amenazas hizo declaraciones sobre cómo obtuvo acceso a los servidores de Oracle Cloud hace unos 40 días y afirmó haber enviado un correo electrónico a la empresa después de exfiltrar datos de las regiones de nube US2 y EM2.

Además, se han filtrado algunos enlaces que aparentemente apuntan a servidores de Oracle, lo que parece respaldar las afirmaciones del atacante.

Oracle ha negado las acusaciones de un acceso no autorizado a sus sistemas. La empresa sostiene que no hubo una brecha de seguridad en sus servicios y que los datos filtrados no corresponden a Oracle Cloud. A pesar de esto, el hacker ha mostrado pruebas como los enlaces a sus servidores internos, lo que ha generado dudas sobre la veracidad de la postura de Oracle.

El actor de amenazas afirmó haber comprometido una versión vulnerable de los servidores de Oracle Cloud utilizando un CVE público, pero sin un PoC (prueba de concepto) o exploit público disponible. Tras investigar, se descubrió que el acceso comprometido había sido actualizado por última vez en 2014, según los resultados de FOFA. Durante la búsqueda de CVEs antiguos con alto impacto, se identificó el CVE-2021-35587, que afecta a Oracle Fusion Middleware y tiene solo un exploit público conocido.



Captura de pantalla de FOFA que muestra el inicio de sesión del punto final login.us2.oraclecloud.com

La vulnerabilidad, identificada como CVE-2021-35587, tiene una puntuación CVSS de 9,8 y afecta a las versiones 11.1.2.3.0, 12.2.1.3.0 y 12.2.1.4.0 de Oracle Access Manager (OAM).

Esto puede dar al atacante acceso al servidor OAM, para crear cualquier usuario con cualquier privilegio, o simplemente obtener la ejecución del código en el servidor de la víctima

Recomendaciones

• Realiza la rotación de contraseñas de cuentas privilegiadas en la nube de Oracle Cloud. Habilita autenticación multifactor (MFA) en todos los accesos a Oracle.
• Regenerar los hashes SASL/MD5 o migrar a un método de autenticación más seguro.
• Revisa permisos y deshabilita cuentas inactivas o innecesarias.
• Identifica qué información está almacenada en Oracle Cloud y protégela con los controles disponibles en tu perfil de administrador. 
• Regenera cualquier ”secret key” o certificado SSO/SAML/OIDC asociado con la configuración LDAP.
• En la medida de lo posible restrinja la comunicación hacia la nube de Oracle Cloud.
• Habilita alertas de acceso en Oracle Cloud y bases de datos con accesos inusuales o transferencias masivas de datos.
• Monitoreo y Auditoria: Realiza una investigación exhaustiva para identificar posibles accesos no autorizados y mitigar riesgos adicionales.

Adicionales:

• Auditar herramientas de acceso remoto. (NIST CSF, 2024)
• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
• Limitar estrictamente el uso de los protocolos SMB y RDP.
• Realizar auditorías de seguridad. (NIST CSF, 2024) Alestra – Información Pública
• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024) 
• Tener filtros de correo electrónico y spam.
• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
• Realizar copias de seguridad, respaldos o back-ups constantemente.
• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
• Revisar continuamente los privilegios de los usuarios.
• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactor.

Referencias

1. BleepingComputer. (2025, marzo 21). *Oracle denies breach after hacker claims theft of 6 million data records*. BleepingComputer. https://www.bleepingcomputer.com/news/security/oracle-denies-data-breach-after-hacker-claims-theft-of-6-million-data-records/ 
2. Lakshmanan, R. (2022, November 29). CISA warns of actively exploited critical Oracle Fusion Middleware vulnerability. The Hacker News. https://thehackernews.com/2022/11/cisa-warns-of-actively-exploited.html 
3. CloudSEK (2025, marzo 21). The Biggest Supply Chain Hack Of 2025: 6M Records For Sale Exfiltrated from Oracle Cloud Affecting over 140k Tenants https://www.cloudsek.com/blog/the-biggest-supply-chain-hack-of-2025-6m-records-for-sale-exfiltrated-from-oracle-cloud-affecting-over-140k-tenants  

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios