一名名为 “rose87168” 的威胁行为者声称，从Oracle Cloud服务器上窃取了 600 万条记录。

据报道，被盗数据包括 Java 密钥库（JKS）文件、加密的单点登录（SSO）密码、经过哈希处理的轻量级目录访问协议（LDAP）密码、密钥文件以及企业管理器 Java 平台安全（JPS）密钥。

据称，此次数据泄露事件影响了全球超过 14 万个租户，引发了人们对云安全的严重担忧。

该黑客声称利用了Oracle Cloud登录基础设施中的一个漏洞，专门针对端点 login.(区域名称).oraclecloud.com进行攻击。

据报道，这个子域名托管着过时的Oracle融合中间件软件，该软件可能易受 CVE-2021-35587 漏洞的攻击，这是一个已知的会影响Oracle访问管理器的漏洞。

暗网论坛上的被盗数据

被盗数据正在包括Breach Forums在内的暗网论坛上被兜售。“rose87168” 要求受影响的组织支付赎金，以防止其数据被出售或泄露。

此外，该威胁行为者还通过提供奖励来鼓动其他人协助破解加密的单点登录密码和轻量级目录访问协议密码。

Oracle公司否认其云基础设施存在数据泄露的情况。在 2025 年 3 月 21 日发布的一份声明中，该公司坚称没有客户数据遭到泄露，并且公布的那些凭据与Oracle的系统无关。

自 2025 年 1 月以来，“rose87168” 在策划此次攻击时展现出了复杂高超的手段。该黑客声称，在将被盗数据在网上公开兜售前大约 40 天就已经获得了访问权限。

建议使用Oracle Cloud服务的组织立即采取以下行动：

1.重置凭据：更改所有单点登录、轻量级目录访问协议及相关密码，同时实施严格的密码策略并启用多因素身份验证（MFA）。

2.监控系统：部署安全监控工具，以检测未经授权的访问或异常活动。

3.调查数据泄露事件：进行法医调查，以确定漏洞并降低风险。

4.与Oracle沟通：向Oracle报告该事件，并寻求有关保护系统的指导。

5.加强安全措施：实施严格的访问控制和增强的日志记录机制。

此次数据泄露事件突显了针对云环境的网络攻击日益复杂的现状。它强调了定期进行软件更新、主动监控威胁以及采取强有力的安全措施来降低风险的重要性。