🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
في 21 مارس 2025، قام مستخدم باسم روز87168 تم النشر على BreachForums، مدعيًا الوصول إلى خوادم تسجيل الدخول إلى Oracle Cloud وتقديم بيانات حساسة بما في ذلك بيانات اعتماد SSO و LDAP ومفاتيح OAuth2 ومعلومات العميل المستأجر للبيع. كان CloudSek بمساعدة CloudSek Nexus وسيبر HUMINT أول من تحقق من البيانات والأصالة وأبلغ الجمهور وعملائنا. نظرًا لأن البيانات المزعومة قد تؤدي إلى هجمات واسعة النطاق على سلسلة التوريد، فقد نشرنا أيضًا تقرير TLP Green لتحذير المجتمع. كما قمنا بإبلاغ Oracle في نفس اليوم عن طريق إرسال تقرير TLP RED. لقد نشرنا أيضًا أداة مجانية للتحقق مما إذا كانت مؤسستك مدرجة في قائمة الضحايا التي شاركها المهاجم.
ردت Oracle، في وقت لاحق من نفس اليوم، بنفي قاطع: «لم يحدث أي خرق لـ Oracle Cloud.»
منذ أن كشفنا عن التهديد لأول مرة، حصلنا على العديد من الأسئلة التي قمنا بتغطيتها
ما هو كلاودسك؟
كيف تمكنا من تحليل الأصالة والتحقق منها في وقت قصير؟
المزيد من هذه الأسئلة في قسم الأسئلة الشائعة
نعتقد أنه كان هناك نقص في الحكم في نهاية Oracle، ونعتزم نشر المزيد من التفاصيل التي من شأنها مساعدة المجتمع وOracle على التحقيق في الحادث بشكل أفضل. في CloudSek، نؤمن بالشفافية والتحقق القائم على الأدلة - ليس لإثارة الذعر ولكن لتمكين التأهب، وهو ما كنا نفعله على مدار السنوات العشر الماضية.
تحديث - يرجى مراجعة قسم التحليل للحصول على معلومات محدثة
وبينما كان الفاعل المسؤول عن التهديد قادرًا على مشاركة عينة من قائمة تفاصيل العملاء، قدم ممثل التهديد أيضًا دليلًا على الهجوم عن طريق تحميل ملف تم إنشاؤه على «login.us2.oraclecloud.com» وأرشفة عنوان URL العام، مع البريد الإلكتروني للمهاجم داخل الملف النصي.
كان الخادم، الذي بدا أنه خدمة SSO، نشطًا منذ حوالي 30 يومًا. يتماشى هذا مع ادعاءات ممثل التهديد بأن الخادم المستهدف قد تمت إزالته بواسطة Oracle قبل أسابيع قليلة من الاختراق.
كان هدفنا التحقق مما إذا كانت نقطة النهاية المعنية تمثل أحد أصول إنتاج Oracle Cloud المشروعة، وما إذا كان المستأجرون الحقيقيون من العملاء قد تعرضوا للخطر بدلاً من مجرد اختبار البيانات.
لتشكيل الاستنتاج، بحثنا عن الآلاف من مصادر استخباراتنا للتوصل إلى الاستنتاجات التالية:
الغرض من البرنامج النصي:
البرنامج النصي داخل مستودع GitHub، mpapihelper.py، يشير مباشرةً إلى login.us2.oraclecloud.com لإنشاء رمز الوصول إلى OAuth2.
سيتم استخدام الرمز المميز لاحقًا للتفاعل مع واجهة برمجة تطبيقات Oracle Cloud Marketplace التي تسهل إدارة قوائم السوق.
1: https://github.com/BhavaniPericherla/Selenium/blob/master/config.properties
2: https://github.com/Ejazkhan42/React-UI/blob/9f0b5e36f34c80d514b72af27e9d6973ff3fedf1/queries.js#L284
3: https://pdfslide.net/embed/v1/manual-del-portal-de-proveedor-supplier-portal-manual-del-portal-de-proveedor.html [غير نشط الآن]
السياق: كانت هذه الوثيقة بمثابة مرجع مفصل حول بوابة موردي الشركة. طلبت الوثيقة من المستخدمين تسجيل الدخول باستخدام نقطة نهاية تسجيل الدخول إلى Oracle (ehbm.login.us2.oraclecloud.com) المعنية.
4: https://github.com/juju/go-oracle-cloud/pull/1/commits/4200f51ee63563ab07bac3c038b29d294b6c81b8
5: مستند يُستخدم كـ «دليل مستخدم» لـ Oracle على رابيد فور كلاود تحتوي CDN، وهي الشريك الذهبي لشركة Oracle، على عنوان URL الخاص بـ OAM في قسم استكشاف الأخطاء وإصلاحها.
2: كان لدى Rainfocus، أحد شركاء النشر والترحيل في Oracle Cloud، الملف التالي على الجهاز الموقع الإلكتروني.
كما نرى أعلاه، ينصح الدليل المستخدمين بتسجيل الدخول إلى <identity-domain>.login.us2.oraclecloud.com/fed/idp/البيانات الوصفية لتنزيل البيانات الوصفية لمزود الهوية، مما يعزز حقيقة أن <identity-domain>. تسجيل الدخول. us2. oraclecloud.com يتم استخدامه في بيئات الإنتاج.
ما هو كلاودسك؟
CloudSek، التي تأسست في عام 2015، هي شركة استخبارات إلكترونية متخصصة في تحليلات التهديدات التنبؤية، وحماية المخاطر الرقمية، ومراقبة سطح الهجوم، ومراقبة سلسلة التوريد. نحن نساعد المؤسسات في جميع أنحاء العالم على تحديد التهديدات الإلكترونية وتحديد أولوياتها من أجل الأمان القوي. تشمل قاعدة عملائنا ما لا يقل عن 10٪ من شركات Fortune 500 التي تعتمد على ذكائنا السياقي.
في CloudSek، نميز أنفسنا من خلال التركيز على الذكاء القائم على IAV بدلاً من IOC التقليدية. لدينا نهج متجه الهجوم الأولي (IAV) تمنع الهجمات قبل أن تكتسب موطئ قدم أولي في الشبكات من خلال تحديد نقاط الدخول المحتملة والتخفيف من حدتها. تساعد هذه المنهجية الاستباقية المؤسسات على إيقاف التهديدات في المرحلة الأولى من سلسلة الهجوم.
المزيد عنا على موقع جارتنر بير إنسايتس -
كيف تمكنا من تحليل الأصالة والتحقق منها في وقت قصير؟
يستغرق التحليل أعلاه 2-3 دقائق فقط على منصة CloudSek Nexus. تسمح Nexus لمحترفي الأمن بطرح أي أسئلة تتعلق بأصولك وتهديداتك وسنقوم بفحص مئات المصادر وربطها وتحديد مقدار هذه التهديدات نيابة عنك. ألق نظرة على كلاودسك نيكسوس.
هل يمكن أن يكون هذا خادم تطوير/اختبار ببيانات وهمية؟
أ: بينما تحتوي بعض النطاقات الفرعية على «-test»، فإن البيانات المرتبطة بهذه البيئات تتضمن نطاقات الشركة الحقيقية وتفاعلات OAuth2 وبيانات اعتماد تسجيل الدخول. علاوة على ذلك، تتطابق النطاقات مع تلك الموجودة في قائمة الجهات الفاعلة في مجال التهديد، والتي تشمل عملاء Oracle المعروفين. هذا يجعل نظرية «خادم الاختبار» غير محتملة كتفسير كامل.
هل يمكن للمهاجم تصنيع هذه البيانات أو إعادة استخدامها؟
أ: في حين يقوم المهاجمون أحيانًا بتجميع البيانات من مصادر متعددة، فإن وجود بيانات اعتماد حديثة غير مفهرسة وتفاعلات خادم محددة يجعل هذا الأمر مستبعدًا للغاية. يؤدي تحميل ملف إلى نقطة نهاية تسجيل دخول Oracle المباشرة إلى تأكيد الوصول غير المصرح به.
هل ستصدر CloudSek التقرير الكامل والتحليل، وهل ستتعاون مع Oracle أو غيرها في هذا الشأن؟
أ: تقوم CloudSek بإصدار أجزاء رئيسية من تحليلها والأدلة التي تم التحقق منها بطريقة TLP-GREEN مسؤولة لإعلام المجتمع الأوسع وحمايته. ومع ذلك، لن يتم نشر مجموعة البيانات الكاملة والتفاصيل الحساسة لتجنب المزيد من الاستغلال أو الضرر. لقد شاركنا تقرير TLP-RED مع Oracle ونظل منفتحين على العمل مع Oracle وأصحاب المصلحة الآخرين ذوي الصلة لدعم تحقيق شامل ومسؤول في الحادث.