Oracle Cloud SSO、LDAP记录遭泄露,14万+租户受影响
2025年3月21日,安全威胁情报供应商CloudSEK发布报告,称一名威胁行为者在论坛发帖,声称从前一天起从Oracle Cloud SSO和LDAP中窃取了约600万条记录。泄露的数据包括JKS(Java密钥库)文件、加密的SSO密码、密钥文件和企业管理器JPS密钥。CloudSEK与威胁行为者的沟通表明,可能存在一个未公开的漏洞影响了Oracle Cloud登录基础设施。
技术细节
在大约600万行的泄露数据中包括:
- JKS文件
- 加密的SSO密码
- 哈希处理的LDAP密码
- 密钥文件
- 企业管理器JPS密钥
化名为“rose87168”的行为者正在出售这些泄露的记录,并提供部分数据以换取帮助解密SSO密码和/或破解LDAP密码。
超过14万个租户受到影响。
威胁行为者正在胁迫受影响组织“支付特定金额,以便在数据被出售前从列表中删除其员工信息”。
虽然目前尚不清楚是否利用了漏洞,但情况似乎如此。根据CloudSEK的说法:
“可以中等置信度确定,威胁行为者利用了用于托管oraclecloud.com登录页面的Oracle WebLogic服务器上的一个未公开漏洞。通过利用所有区域的登录端点,威胁行为者随后能够转储与底层租户相关的数据。”
缓解措施
受影响的组织应更改所有SSO、LDAP及相关凭证。确保密码强度并强制执行多因素认证(MFA)。此外,应向Oracle报告此问题,以验证可能的零日漏洞并寻求进一步的缓解措施。
网络融合中心的行动
CFC将继续监控情况,并在需要时发布咨询更新。如果此次泄露是由于尚未公开的漏洞造成的,订阅我们漏洞扫描服务的客户将在扫描提供商提供相关插件后,立即在扫描范围内发现关键漏洞时收到相关结果。