Un hacker identificado como ‘rose87168’, ha declarado haber sustraído seis millones de registros de los servidores de Oracle Cloud.
Los datos comprometidos incluirían archivos Java Key Store (JKS), contraseñas cifradas de inicio de sesión único (SSO), contraseñas de protocolo ligero de acceso a directorios (LDAP) con hash, archivos de claves y claves de Enterprise Manager Java Platform Security (JPS).
Se alega que esta intrusión afecta a más de 140.000 clientes a nivel global, lo que plantea inquietudes significativas en relación con la seguridad de la infraestructura en la nube.
El presunto atacante afirma haber aprovechado una vulnerabilidad presente en la infraestructura de inicio de sesión de Oracle Cloud, específicamente en el punto final de inicio de sesión (nombre-región).oraclecloud.com.
Se sugiere que este subdominio albergaba software Oracle Fusion Middleware desactualizado, el cual podría haber sido explotado mediante la vulnerabilidad CVE-2021-35587, conocida por afectar a Oracle Access Manager.
Los datos robados se anuncian en foros de la web oscura, incluidos los foros de Breach. “Rose87168” exige pagos de rescate a las organizaciones afectadas para evitar la venta o exposición de sus datos.
Además, el actor de amenazas estimula a otros a ayudar a descifrar las contraseñas SSO y LDAP cifradas ofreciendo recompensas.
Oracle ha negado las acusaciones de una violación en su infraestructura de nube. En un comunicado emitido el 21 de marzo de 2025, la empresa afirmó que ningún dato de los clientes se vio comprometido y que las credenciales publicadas no estaban vinculadas a sus sistemas.
Activo desde enero de 2025, “rose87168” ha demostrado métodos preferidos para orquestar este ataque. El pirata informático afirma haber obtenido acceso aproximadamente 40 días antes de anunciar en línea los datos robados.
Se recomienda a las organizaciones que utilizan Oracle Cloud que tomen medidas inmediatas:
- Restablecer credenciales: Cambie todos los SSO, LDAP y las contraseñas asociadas mientras aplica políticas de contraseñas seguras y autenticación multifactor (MFA).
- Monitorear sistemas: Implementar herramientas de monitoreo de seguridad para detectar accesos no autorizados o actividades inusuales.
- Investigar infracciones: Realizar investigaciones forenses para identificar vulnerabilidades y mitigar riesgos.
- Interactúe con Oracle: Informe el incidente a Oracle y busque orientación sobre cómo proteger los sistemas.
- Fortalecer la seguridad: Implementar controles de acceso estrictos y mecanismos de registro mejorados.
Esta infracción subraya la creciente sofisticación de los ciberataques dirigidos a entornos de nube. Destaca la importancia de las actualizaciones periódicas de software, el monitoreo proactivo de amenazas y medidas de seguridad sólidas para mitigar los riesgos.
