Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 27 Marzo 2025 07:22
La scorsa settimana, un threat actors di nome ‘rose87168’ ha affermato di aver violato i server Oracle Cloud e di aver iniziato a vendere i presunti dati di autenticazione e le password crittografate di 6 milioni di utenti.
L’autore della minaccia ha anche affermato che le password SSO e LDAP rubate potevano essere decriptate utilizzando le informazioni nei file rubati e si è offerto di condividere alcuni dei dati con chiunque potesse aiutarli a recuperarli. La posizione di Oracle è stata quella di negare la violazione dei suoi server di accesso SSO federati Oracle Cloud e il furto dei dati degli account di 6 milioni di persone.
Molte aziende hanno confermato che i campioni di dati condivisi dall’autore della minaccia erano validi. Oracle ha dichiarato: “Non c’è stata alcuna violazione di Oracle Cloud. Le credenziali pubblicate non sono per Oracle Cloud. Nessun cliente Oracle Cloud ha subito una violazione o ha perso dati”.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Le aziende hanno dichiarato che i nomi visualizzati LDAP associati, gli indirizzi e-mail, i nomi propri e altre informazioni identificative erano tutti corretti e appartenevano a loro. L’attore della minaccia ha rilasciato più file di testo costituiti da un database, dati LDAP e un elenco di 140.621 domini di aziende che sarebbero state colpite dalla violazione (126.687 effettuando una group by). Va notato che alcuni dei domini aziendali sembrano di test e ci sono più domini per azienda. Per quanto riguarda le aziende italiane, abbiamo ben 1938 record all’interno dei domini colpite dalla presunta violazione (1806 effettuando un raggruppamento).
Inoltre l’autore della minaccia sostiene di aver avuto uno scambio di email con Oracle per segnalare di aver hackerato i server. “Ho esaminato attentamente l’infrastruttura della dashboard cloud e ho trovato un’enorme vulnerabilità che mi ha consentito di accedere in modo completo alle informazioni di 6 milioni di utenti”, si legge nell’e-mail che è stata visionata da BleepingComputer.
Cloudsek, come abbiamo visto nel precedente articolo, ha anche trovato un URL di Archive.org che mostra che il server “login.us2.oraclecloud.com” eseguiva Oracle Fusion Middleware 11g a partire dal 17 febbraio 2025. Da allora Oracle ha disattivato questo server dopo che è stata segnalata la notizia della presunta violazione.
Questa versione del software è stata interessata da una vulnerabilità tracciata come CVE-2021-35587 che sembrerebbe aver consentito di compromettere Oracle Access Manager. L’autore della minaccia ha affermato che questa vulnerabilità è stata utilizzata nella presunta violazione dei server Oracle.
La vulnerabilità utilizzata per questa presunta violazione sembra essere il CVE-2021-35587 che ha consentito la compromissione del server login[.]us2[.]oraclecloud[.]com. Oracle dopo aver negato l’attacco ha rapidamente disconnesso il server da Internet.
L’aggressore sostiene inoltre di aver lasciato un file con un nome handle, “x.txt”, scritto al suo interno quando ha violato il server “login.us2.oraclecloud[.]com” e che questo è stato scansionato e registrato nell’Internet Archive il 1° marzo 2025.
Questa vicenda, ancora avvolta nel mistero, non ha una chiara spiegazione. È certo che un gigante come Oracle stia ancora analizzando i fatti e presto pubblicherà un report ufficiale per fare luce sull’accaduto. Nel frattempo, c’è chi affronta la situazione con ironia, diffondendo meme che, almeno dagli elementi in nostro possesso, sembrano essere condivisibili.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
RedazioneShannon opera come un penetration tester che non si limita a segnalare vulnerabilità, ma lancia veri e propri exploit. L’intento di Shannon è quello di violare la sicurezza della tua applicazione ...
Salve ragazzi,mi chiamo Giorgio, ho 58 anni, lavoro da sempre come tecnico amministrativo e, nella vita, sono sempre stato quello “razionale” della famiglia. Quello che controlla i conti, che non ...
I servizi di Windows dedicati alle connessioni remote hanno da sempre rappresentato una fonte inesauribile di “soddisfazioni” per chi si occupa di sicurezza informatica, rivelando vulnerabilità d...
La scena è sempre quella: monitor accesi, dashboard piene di alert, log che scorrono troppo in fretta, un cliente in ansia dall’altra parte della call. Ti siedi, ti guardi intorno e ti rendi conto ...
Un noto broker di accesso iniziale (IAB) denominato “Storm-0249“, ha modificato le proprie strategie operative, utilizzando campagne di phishing ma anche attacchi altamente mirati, i quali sfrutta...
