Trotz Hinweise: Oracle dementiert Cyberattacke – Source: www.csoonline.com

Sicherheitsforscher von CloudSEK haben kürzlich entdeckt, dass im Darknet sensible Daten von mehr als 140.000 Oracle-Kunden zum Verkauf stehen. Diese Informationen sollen aus einer Cyberattacke auf die Oracle Cloud stammen.

Angriff möglicherweise über alte Sicherheitslücke

Die Forscher gehen davon aus, dass der Angreifer sich über eine seit langem bekannte Sicherheitslücke im Oracle Access Manager (CVE-2021-35587) Zugang verschafft haben könnte. Dabei soll er Daten wie verschlüsselte SSO-Passwörter kopiert haben. Wie aus dem CloudSEK-Beitrag hervorgeht, ruft der Täter nun zum Knacken der Kennwörter auf und stellt eine Belohnung in Aussicht.

Zudem hat er auf der Social-Media-Plattform X eine Liste mit betroffenen Unternehmen veröffentlicht. Diese können sich beim ihm melden, sodass er ihre Daten gegen eine Gebühr entfernt.

Oracle selbst streitet allerdings ab, dass es überhaupt einen IT-Sicherheitsvorfall gegeben hat. „Es gab keinen Einbruch in die Oracle Cloud. Die veröffentlichten Anmeldeinformationen beziehen sich nicht auf die Oracle Cloud. Kein Oracle-Cloud-Kunde hatte einen Einbruch oder Datenverlust“, teilte das Unternehmen gegenüber dem Technikmagazin Bleeping Computer mit.

Textdatei deutet auf Angriff hin

Die CloudSEK-Forscher haben jedoch einen Hinweis dafür gefunden, dass der Angreifer die mittlerweile offline genommene Subdomain login.us2.oraclecloud.com kompromittiert hat. Dazu führen sie eine URL auf, die zu einer Textdatei mit der Mail-Adresse des Cyberkriminellen auf dem Oracle-Server führt. Diese Adresse ist noch über die Waybackmachine zugänglich.