Oracle ออกมาปฏิเสธว่าไม่ได้ถูกโจมตีระบบ หลังจากที่ Hacker อ้างว่าสามารถขโมยข้อมูลจาก SSO login servers ของ Oracle Cloud กว่า 6 ล้านรายการ
Oracle ให้ข้อมูลกับ BleepingComputer ว่า ไม่มีการโจมตีเกิดขึ้นกับ Oracle Cloud ข้อมูลที่ถูกเผยแพร่นั้นไม่ใช่ข้อมูลของ Oracle Cloud รวมถึงลูกค้าของ Oracle Cloud ไม่มีรายใดที่พบการโจมตี หรือสูญเสียข้อมูลใด ๆ
การปฏิเสธนี้ออกมาหลังจากที่ Hacker ในชื่อ rose87168 เปิดเผยข้อมูล text file จำนวนมากในวันที่ 20 มีนาคม 2025 โดยประกอบไปด้วยตัวอย่างข้อมูลในฐานข้อมูล, ข้อมูล LDAP และรายชื่อบริษัทที่ขโมยไปจาก SSO platform ของ Oracle Clouds
รวมถึง Hacker ได้แสดงหลักฐานว่าสามารถเข้าถึง Oracle Cloud servers ได้ โดยแสดง URL ของ Internet Archive ซึ่งระบุว่าได้อัปโหลดไฟล์ .txt ที่มีที่อยู่อีเมล ProtonMail ไปยัง login.us2.oraclecloud.com server
ขณะนี้ทาง BleepingComputer กำลังสอบถามไปยัง Oracle ว่า Hacker สามารถเข้าถึง และอัปโหลดไฟล์ข้อความที่มีที่อยู่อีเมลของ Hacker โดยไม่ได้เข้าถึง Oracle Cloud server ได้อย่างไร
การโจมตีเพื่อขโมย Oracle Cloud
Hacker ในชื่อ rose87168 กำลังประกาศขายข้อมูลบน BreachForums ที่อ้างว่าขโมยมาจาก SSO service ของ Oracle Cloud ในราคาที่ไม่เปิดเผย หรือแลกกับช่องโหว่ Zero-Day
rose87168 ระบุว่า ข้อมูล (รวมถึงรหัสผ่าน SSO ที่เข้ารหัส ไฟล์ Java Keystore (JKS), key files และ nterprise manager JPS keys) ถูกขโมยหลังจากสามารถเข้าถึงเซิร์ฟเวอร์ Oracle 'login.(region-name).oraclecloud.com'
โดยรหัสผ่าน SSO ถูกเข้ารหัส และสามารถถอดรหัสได้ด้วยไฟล์ที่มีอยู่ นอกจากนี้รหัสผ่าน LDAP hash ยังสามารถถอดรหัสได้อีกด้วย ซึ่ง rose87168 จะระบุโดเมนของบริษัททั้งหมดที่อยู่ในรายการข้อมูลที่ขโมยมาได้ บริษัทต่าง ๆ สามารถจ่ายเงินจำนวนหนึ่งเพื่อลบข้อมูลของพนักงานออกจากรายการก่อนที่จะถูกขายออกไป
นอกจากนี้ rose87168 ยังเสนอที่จะแบ่งปันข้อมูลบางส่วนกับใครก็ตามที่สามารถช่วยถอดรหัสของรหัสผ่าน SSO หรือ crack รหัสผ่าน LDAP ได้
Hacker ได้แจ้งต่อ BleepingComputer ว่า สามารถเข้าถึง Oracle Cloud servers มาได้กว่า 1 เดือนแล้ว และได้ส่งอีเมลถึง Oracle หลังจากที่สามารถขโมยข้อมูลออกมาจาก US2 และ EM2 cloud regions
โดย Hacker ได้ขอให้ Oracle จ่ายเงิน 100,000 XMR สำหรับข้อมูลเกี่ยวกับวิธีการโจมตี แต่ Oracle ปฏิเสธที่จะจ่ายเงินหลังจากที่ได้ขอข้อมูลทั้งหมดที่จำเป็นสำหรับการแก้ไขช่องโหว่ดังกล่าว ซึ่ง Hacker อ้างว่าพวกเขาได้ใช้ช่องโหว่ที่มีการเปิดเผยออกมาแล้ว (public CVE) ซึ่งปัจจุบันยังไม่มี PoC หรือ exploit ทำให้ไม่สามารถตรวจสอบได้
ซึ่งขณะนี้ทาง BleepingComputer ได้ติดต่อบริษัทหลายแห่งที่ข้อมูลของพวกเขาถูกขโมยไปเพื่อยืนยันว่าข้อมูลนั้นถูกต้องหรือไม่
ที่มา : bleepingcomputer
You must be logged in to post a comment.