Hacker using computer for organizing massive data breach attack on goverment servers. Hacker in dark room surrounded computers

Oracle Cloud Breach peut avoir un impact sur 140 000 clients d’entreprise

Lucas Morel

Un acteur de menace a ciblé l’infrastructure de connexion d’Oracle Cloud, exploitant la vulnérabilité du middleware et exigeant la rançon de plus de 140 000 locataires.

Un acteur de menace aurait violé les infrastructures d’Oracle Cloud, exfiltrant six millions d’enregistrements d’authentification sensibles et mettant potentiellement plus de 140 000 clients d’entreprise. L’attaquant demande désormais des paiements de rançon tout en commercialisant activement les données volées sur les forums souterrains, selon la société de renseignement des menaces CloudSek.

Les chercheurs en sécurité de l’équipe Xvigil de Cloudsek ont ​​découvert la violation le 21 mars 2025, lorsqu’ils ont identifié un acteur de menace opérant en vertu de l’alias «Rose87168» vendant des millions de dossiers extraits des systèmes de protocole d’accès unique d’Oracle Cloud (SSO) et de protocole d’accès au répertoire léger (LDAP).

Les données compromises comprennent des composants de sécurité critiques tels que les fichiers Java Keystore (JKS), les mots de passe SSO chiffrés, les fichiers clés et les clés de sécurité de la plate-forme Java (JPS) Manager en entreprise – tous les éléments essentiels pour l’authentification et le contrôle d’accès dans l’environnement Oracle Cloud.

Selon l’enquête de CloudSek, l’attaquant prétend avoir pénétré l’infrastructure d’Oracle en exploitant une vulnérabilité dans les points de fin de connexion de l’entreprise, ciblant spécifiquement le sous-domaine Login.US2.OraceCloud.com. Ce sous-domaine aurait été encore opérationnel aussi récemment que le 17 février 2025, malgré la gestion des composants logiciels gravement dépassés.

« L’acteur de menace a démontré des capacités sophistiquées en ciblant une infrastructure d’authentification critique », a déclaré Cloudsek dans leur rapport. «Ils ne vendent pas seulement les données, mais aussi le recrutement activement de l’assistance pour décrypter les mots de passe volés, suggérant une opération de menace organisée et persistante.»

Oracle a nié la violation de données. « Il n’y a pas eu de violation d’Oracle Cloud. Les informations d’identification publiées ne sont pas destinées à Oracle Cloud. Aucun client d’Oracle Cloud n’a subi une violation ou a perdu de données », a déclaré un porte-parole d’Oracle.

Vulnérabilité connue exploitée

L’attaque semble tirer parti du CVE-2021-35587, une vulnérabilité critique d’Oracle Access Manager qui a été ajoutée au catalogue de vulnérabilités exploité de la cybersécurité et de l’infrastructure.

Les preuves de la criminalistique numérique suggèrent que le serveur compromis exécutait Oracle Fusion Middleware 11G, avec des composants mis à jour pour la dernière fois en septembre 2014 – il y a plus d’une décennie. Le décalage important dans la gestion des patchs a créé une opportunité d’exploitation.

« En raison du manque de pratiques de gestion des patchs et / ou de codage sans sécurité, la vulnérabilité du middleware d’Oracle Fusion a été exploitée par l’acteur de menace », a souligné le rapport CloudSek. «Cette vulnérabilité exploitable facilement permet à un attaquant non authentifié de l’accès au réseau via HTTP pour compromettre Oracle Access Manager. Les attaques réussies de cette vulnérabilité peuvent entraîner la prise de contrôle d’Oracle Access Manager (OAM).»

Cloudsek, dans son rapport, a mentionné que l’acteur de menace aurait déclaré à une source d’information indépendante qu’il avait exploité «une version vulnérable des serveurs de cloud Oracle avec un CVE public qui n’a pas actuellement de POC ou d’exploitation public».

Les enregistrements d’archives Internet, cités dans le rapport, ont confirmé que le sous-domaine compromis hébergeait Oracle Fusion Middleware 11G à la fin de février 2025, contredisant les pratiques de sécurité standard de maintenir les infrastructures critiques à jour avec les derniers correctifs de sécurité.

Impact et risques commerciaux

Dans un développement alarmant, l’acteur de menace a lancé une campagne d’extorsion, contactant les entreprises touchées et exigeant le paiement pour supprimer leurs données du cache volé. Cela crée une pression financière immédiate et des décisions juridiques et éthiques complexes pour les victimes concernant les paiements de rançon.

Pour augmenter la pression sur les organisations Oracle et affectées, l’attaquant a établi une présence sur la plate-forme de médias sociaux X (anciennement Twitter), à la suite de comptes liés à Oracle et à se préparer vraisemblablement à accroître la visibilité publique de la violation si les demandes de rançon ne sont pas satisfaites.

« Les entreprises touchées par la brèche peuvent me contacter pour vérifier publiquement si leurs données proviennent d’Oracle Cloud, et je la supprimerai de mon ensemble de données prévue à la vente », a écrit le pirate avec l’alias « Rose87168 » dans un post X.

Avec plus de 140 000 locataires potentiellement affectés, la violation comporte des implications substantielles sur la chaîne d’approvisionnement, car les mécanismes d’authentification compromis pourraient permettre aux attaquants de pivoter entre les organisations et les systèmes connectés. Cet effet multiplicateur augmente considérablement le rayon de dommage potentiel au-delà de la violation initiale.

Atténuation recommandée mesures

Cloudsek a décrit une stratégie de réponse complète pour les organisations potentiellement affectées.

« La première priorité est la rotation immédiate des informations d’identification – réinitialiser tous les mots de passe pour les comptes d’utilisateurs LDAP, avec une attention particulière aux comptes privilégiés tels que les administrateurs de locataires qui pourraient fournir un large accès entre les systèmes », a suggéré le rapport.

Les équipes de sécurité devraient implémenter des contrôles d’authentification plus forts, y compris l’authentification multi-facteurs (MFA) et les politiques de mot de passe améliorées. Cela aide à atténuer le risque de réutilisation des informations d’identification même si les mots de passe cryptés volés sont finalement déchiffrés par les attaquants.

Le rapport a également ajouté que les organisations doivent régénérer et remplacer tous les certificats affectés, y compris tous les secrets SSO, SAML ou OIDC associés aux configurations LDAP compromises. Cette hygiène cryptographique est essentielle pour restaurer la confiance dans les mécanismes d’authentification.

« La sophistication de cette attaque met en évidence les défis continus de la sécurisation des environnements cloud, en particulier autour des systèmes d’authentification », a déclaré Cloudsek dans le rapport. «Les organisations utilisant Oracle Cloud Services devraient traiter cela comme un incident de sécurité critique nécessitant une action immédiate, qu’elles aient été directement informés du compromis.»

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Two Young Colleagues Working on Computers and Talking at a Workplace. Female and Male Software Developers Discussing a Solution for Their Collaborative Artificial Intelligence Project
4 grandes erreurs que vous faites probablement encore dans la gestion de la vulnérabilité… et comment les réparer
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d'hiver de 800 $
Players avantageux de Michael Kaplan: The Shell Game Guys et ma veste d’hiver de 800 $
Laptop, meeting and business people in office with teamwork for finance stock market planning. Collaboration, technology and group of financial advisors working on company budget in workplace.
Rapports de rapports: Se séparer pourrait-il aider les CISO?