🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
ملخص تنفيذي
في 21 مارس 2025، اكتشفت XviGil من CloudSek عامل التهديد، «rose87168"، الذي يبيع 6 ملايين سجل تم تسريبها من SSO و LDAP من Oracle Cloud. تتضمن البيانات ملفات JKS وكلمات مرور SSO المشفرة والملفات الرئيسية ومفاتيح JPS لمدير المؤسسة.
يقوم المهاجم، النشط منذ يناير 2025، بتحفيز المساعدة في فك التشفير والمطالبة بالدفع مقابل إزالة البيانات من أكثر من 140 ألف مستأجر متأثر. تشير مشاركتنا مع ممثل التهديد إلى ثغرة أمنية محتملة لم يتم الكشف عنها عند تسجيل الدخول. (اسم المنطقة) .oraclecloud.com، مما يؤدي إلى الوصول غير المصرح به. على الرغم من أن الجهة الفاعلة في مجال التهديد ليس لها تاريخ سابق، إلا أن أساليبها تشير إلى درجة عالية من التطور، وتقوم CloudSek بتقييم هذا التهديد بثقة متوسطة وتصنفه على أنه عالي الخطورة.
تحقق من تعرضك هنا - https://exposure.cloudsek.com/oracle
اقرأ أيضًا: الجزء 2: التحقق من صحة الاختراق الذي تم رفضه من Oracle Cloud - تحليل المتابعة الخاص بـ CloudSek
التحليل والإسناد
معلومات من البريد
اكتشفت XviGil من CloudSek عامل التهديد «rose87168" الذي يبيع 6 ملايين سجل تم استخراجه من SSO وLDAP الخاصين بـ Oracle Cloud في 21 مارس 2025. يدعي ممثل التهديد أنه تمكن من الوصول عن طريق اختراق نقطة نهاية تسجيل الدخول: تسجيل الدخول. (اسم المنطقة). oraclecloud.com.
- تتضمن قاعدة البيانات:
- تم التخلص من حوالي 6 ملايين سطر من البيانات من SSO وLDAP في Oracle Cloud والتي تتضمن
- ملفات JKS،
- كلمات مرور SSO المشفرة،
- الملفات الرئيسية،
- مفاتيح JPS لمدير المؤسسة.
- تم التخلص من حوالي 6 ملايين سطر من البيانات من SSO وLDAP في Oracle Cloud والتي تتضمن
- بالإضافة إلى ذلك، قدم ممثل التهديد حافزًا لأي شخص ساعده في فك تشفير كلمات مرور SSO و/أو كسر كلمات مرور LDAP.
- قائمة المستأجرين المتضررين تزيد عن 140 ألفًا، ويحث ممثل التهديد الشركات على الاتصال بهم ودفع «رسوم» معينة لإزالة بياناتهم.
- قام ممثل التهديد أيضًا بإنشاء صفحة X وبدأ في متابعة الصفحات ذات الصلة بـ Oracle.
التحليل:
ادعى ممثل التهديد أنه اخترق النطاق الفرعي login.us2.oraclecloud.com، والذي يُزعم أنه تمت إزالته منذ الاختراق.
تم تسجيل النطاق الفرعي على جهاز wayback في 17 فبراير 2025، مما يشير إلى أنه كان يستضيف برنامج Oracle fusion الوسيطة 11G.
خادم أوراكل فيوجن الوسيطة، والذي وفقًا لـ fofa تم تحديثه آخر مرة في يوم السبت 27 سبتمبر 2014. تحتوي البرامج الوسيطة لـ Oracle fusion على ثغرة أمنية خطيرة CVE-2021-35587 تؤثر على Oracle Access Manager (عامل OpenSSO). والتي تمت إضافتها إلى CISA KEV (نقاط الضعف المعروفة المستغلة) في ديسمبر 2022.
CVE-2021-35587: ثغرة أمنية في إدارة وصول أوراكل (عامل OpenSSO)
توجد ثغرة أمنية في مكون Oracle Access Manager في برنامج Oracle Fusion Middleware (عامل OpenSSO). الإصدارات المتأثرة هي:
- 11.1.2.3.0
- 12.2.1.3.0
- 12.2.1.4.0
تسمح هذه الثغرة الأمنية التي يمكن استغلالها بسهولة للمهاجم غير المصادق بالوصول إلى الشبكة عبر HTTP لاختراق Oracle Access Manager. يمكن أن يؤدي الاستغلال الناجح إلى الاستحواذ الكامل على Oracle Access Manager.
ادعى ممثل التهديد كمبيوتر بيبينغ أنهم قاموا باختراق نسخة ضعيفة من خوادم Oracle Cloud باستخدام CVE (عيب) عام لا يحتوي حاليًا على PoC عام أو استغلال.
كما نرى في لقطة الشاشة المذكورة أعلاه، تم تحديث نقطة نهاية تسجيل الدخول آخر مرة في عام 2014 وفقًا لنتائج FOFA. وبالتالي، بدأنا في البحث عن أي CVEs قديمة ذات تأثير كبير على مجموعة التكنولوجيا. في هذه العملية، وجدنا CVE قديمًا يؤثر على Oracle Fusion Middleware (CVE-2021-35587) الذي يحتوي على استغلال عام واحد معروف فقط.
نظرًا لنقص ممارسات إدارة التصحيح و/أو الترميز غير الآمن، تم استغلال الثغرة الأمنية في Oracle Fusion Middleware من قبل جهة التهديد. تسمح هذه الثغرة الأمنية التي يمكن استغلالها بسهولة للمهاجم غير المصادق بالوصول إلى الشبكة عبر HTTP لاختراق Oracle Access Manager. يمكن أن تؤدي الهجمات الناجحة لهذه الثغرة الأمنية إلى الاستحواذ على Oracle Access Manager (OAM). يتماشى هذا مع العينات التي تم تسريبها على Breachforums أيضًا.
نشاط وتصنيف الجهات الفاعلة في مجال التهديد
التأثير
- التعرض للبيانات الجماعية: يؤدي اختراق سجلات 6M، بما في ذلك البيانات الحساسة المتعلقة بالمصادقة، إلى زيادة مخاطر الوصول غير المصرح به والتجسس على الشركات.
- تسوية بيانات الاعتماد: يمكن أن تؤدي كلمات مرور SSO وLDAP المشفرة، في حالة اختراقها، إلى تمكين المزيد من الاختراقات عبر بيئات Oracle Cloud.
- طلبات الابتزاز والفدية: يقوم عامل التهديد بإكراه الشركات المتضررة على الدفع مقابل إزالة البيانات، مما يزيد من المخاطر المالية والمتعلقة بالسمعة.
- الاستغلال في يوم الصفر: يثير الاستخدام المشتبه به لثغرة يوم الصفر مخاوف بشأن أمان Oracle Cloud والهجمات المستقبلية المحتملة.
- مخاطر سلسلة التوريد: قد يؤدي الكشف عن ملفات JKS والملفات الرئيسية إلى تمكين المهاجمين من تحويل أنظمة المؤسسة المترابطة المتعددة واختراقها.
التخفيف
- تدابير أمنية فورية
- إعادة تعيين كلمات المرور: إعادة تعيين كلمات المرور على الفور لجميع حسابات مستخدمي LDAP المخترقة، مع التركيز بشكل خاص على الحسابات المميزة (على سبيل المثال، مسؤولو المستأجر). فرض سياسات كلمات مرور قوية وMFA.
- تحديث تجزئات SASL: قم بإعادة إنشاء تجزئات SASL/MD5 أو الترحيل إلى طريقة مصادقة أكثر أمانًا.
- تناوب أوراق الاعتماد على مستوى المستأجر
- اتصل بدعم Oracle على الفور لتدوير المعرفات الخاصة بالمستأجر (على سبيل المثال، orclmtenantguid أو orclmtenantuname) ومناقشة خطوات المعالجة الضرورية.
- تجديد الشهادات والأسرار
- قم بإعادة إنشاء واستبدال أي أسرار أو شهادات SSO/SAML/OIDC مرتبطة بتكوين LDAP المخترق.
- التدقيق والمراقبة
- راجع سجلات LDAP لمحاولات المصادقة المشبوهة.
- تحقق من أنشطة الحساب الأخيرة لاكتشاف الوصول غير المصرح به المحتمل.
- تنفيذ المراقبة المستمرة لتتبع الوصول غير المصرح به والسلوك الشاذ.
- بروتوكولات الأمان المحسّنة
- التدوير الفوري لبيانات الاعتماد: قم بتدوير جميع بيانات SSO و LDAP وبيانات الاعتماد المرتبطة، مما يضمن سياسات كلمات المرور القوية وفرض المصادقة متعددة العوامل (MFA).
- الاستجابة للحوادث والطب الشرعي: إجراء تحقيق شامل لتحديد الوصول غير المصرح به المحتمل وتخفيف المزيد من المخاطر.
- مراقبة معلومات التهديدات: راقب باستمرار الويب المظلم ومنتديات الجهات الفاعلة في مجال التهديدات للمناقشات المتعلقة بالبيانات المسربة.
- التفاعل مع Oracle Security: قم بالإبلاغ عن الحادث إلى Oracle للتحقق من هجوم محتمل على سلسلة التوريد وابحث عن التصحيحات أو وسائل التخفيف.
- تعزيز ضوابط الوصول: تنفيذ سياسات وصول صارمة، واعتماد مبدأ أقل الامتيازات، وتعزيز آليات التسجيل لاكتشاف الحالات الشاذة ومنع الانتهاكات المستقبلية.
المراجع
#بروتوكول إشارات المرور - ويكيبيديا
