Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Oracle è stata Violata? Il giallo della compromissione di 140.000 tenant Cloud

Luca Stivali : 22 Marzo 2025 18:47

Nella serata di ieri, 21 marzo 2025, durante una delle consuete esplorazioni nel sottobosco del web di DarkLab, ci siamo inbattuti in una notizia che potrebbe far tremare i polsi a molti amministratori IT: un presunto attacco alla Oracle Cloud.

Da quanto riportato successivamente da CloudSek, sembrerebbe che ci sia stata l’esfiltrazione presunta di 6 milioni di record, coinvolgendo oltre 140.000 tenant. Un grande bottino di informazioni qualora queste confermate da Oracle.

Disclaimer: Questo rapporto include screenshot e/o testo tratti da fonti pubblicamente accessibili. Le informazioni fornite hanno esclusivamente finalità di intelligence sulle minacce e di sensibilizzazione sui rischi di cybersecurity. Red Hot Cyber condanna qualsiasi accesso non autorizzato, diffusione impropria o utilizzo illecito di tali dati. Al momento, non è possibile verificare in modo indipendente l’autenticità delle informazioni riportate, poiché l’organizzazione coinvolta non ha ancora rilasciato un comunicato ufficiale sul proprio sito web. Di conseguenza, questo articolo deve essere considerato esclusivamente a scopo informativo e di intelligence.

La pubblicazione si Breach Forums

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Il tutto è partito da un post su un forum underground, dove un utente con lo pseudonimo “rose87168” ha dichiarato di aver violato l’endpoint di login della Oracle Cloud (login.(region-name).oraclecloud.com), ottenendo accesso a dati sensibili come file JKS, password SSO criptate, file chiave e chiavi JPS dell’enterprise manager.

Non contento, il nostro “amico” ha messo in vendita questi 6 milioni di record, offrendo persino incentivi a chi lo aiutasse a decriptare le password SSO o a craccare quelle LDAP.

La posizione di Oracle

Oracle ha negato con fermezza di aver subito un attacco ai propri servizi cloud. In risposta alle richieste dei media, la società ha diffuso una dichiarazione lapidaria:

Non c’è stata alcuna violazione di Oracle Cloud. Le credenziali pubblicate non appartengono a Oracle Cloud. Nessun cliente Oracle Cloud ha subito una violazione o perdita di dati”.

Questa posizione è stata ribadita su tutte le testate: Oracle, contattata da BleepingComputer, ha assicurato che nessun dato dei clienti è stato compromesso, contraddicendo nettamente quanto affermato dall’hacker. Una dichiarazione identica è riportata anche da altri media (ad es. HackRead e NewsBytes), segno che Oracle ha fornito uno statement univoco per smentire i rumor.

Finora l’azienda non ha condiviso dettagli tecnici sull’accaduto; ha però oscurato il sottodominio login.us2.oraclecloud.com citato dall’attore, che risulta infatti offline dal 21 marzo. Al 22 marzo, Oracle non ha emesso ulteriori comunicati pubblici sul suo sito o sui social in merito all’incidente, limitandosi a negare categoricamente qualsiasi compromissione della propria infrastruttura cloud.

Alcuni esperti hanno ipotizzato che, qualora i dati fossero reali, “Oracle potrebbe tecnicamente aver ragione” nel dire che il proprio cloud core non è stato violato: è possibile che l’attacco abbia colpito un sistema collegato o una componente di terze parti integrata con Oracle Cloud. Questa rimane comunque una ipotesi.

La posizione dei ricercatori di sicurezza

La rivendicazione di “rose87168” è stata analizzata da diversi ricercatori di sicurezza informatica. La società di threat intelligence CloudSEK è stata tra le prime a indagare, pubblicando un rapporto dettagliato il 21 marzo 2025.

Secondo CloudSEK, i dati sottratti (JKS, password SSO cifrate, hash LDAP, chiavi, ecc.) provengono effettivamente dall’infrastruttura Oracle Cloud e l’attacco potrebbe configurarsi come “uno dei più gravi supply-chain hack del 2025”. Gli analisti di CloudSEK ipotizzano con “media certezza” che l’attore abbia sfruttato una vulnerabilità non divulgata presente sui server Oracle di login (in particolare una falla su componenti Oracle WebLogic/Access Manager utilizzati per le pagine di autenticazione).

Dalle verifiche è emerso che il servizio di login compromesso girava su una piattaforma Oracle Fusion Middleware 11g non aggiornata, contenente note vulnerabilità critiche.
In particolare, CloudSEK segnala il CVE-2021-35587 (una falla di Oracle Access Manager) come possibile vettore di attacco: tale bug permette ad un attaccante non autenticato di ottenere il completo controllo del sistema Oracle SSO vulnerabile.

La stessa conclusione appare in un advisory indipendente pubblicato dal Kudelski Security Research: anche Kudelski riporta che, con buona probabilità, il malintenzionato ha sfruttato una falla su Oracle WebLogic (usato per i login Oracle Cloud) riuscendo così a dumpare i dati di tutti i tenant sottostanti.

Diversi esperti sottolineano la “gravità potenziale” di quanto sostenuto. Se l’attacco fosse autentico, l’impatto sarebbe considerevole: l’esposizione di 6 milioni di record di autenticazione apre scenari di accessi non autorizzati e spionaggio industriale. La sottrazione di file JKS e altre chiavi crittografiche risulta particolarmente preoccupante, poiché tali elementi potrebbero consentire di decriptare dati sensibili o di ottenere accesso ad altri sistemi collegati.

Inoltre, la compromissione di credenziali SSO e LDAP – se gli hash fossero decifrati – potrebbe portare a ulteriori violazioni a catena nei sistemi cloud delle aziende clienti. Proprio la natura “federata” del servizio Oracle (usato da migliaia di organizzazioni per gestire l’accesso ai propri ambienti) fa sì che un singolo breach possa propagarsi lungo la supply chain: altri sistemi e applicazioni enterprise integrati con Oracle Cloud potrebbero essere a rischio.

Intanto, su Reddit, nella community r/blueteamsec, diversi utenti hanno discusso dell’incidente, sottolineando come potrebbe aver coinvolto le tradizionali login OCI, ma non l’IDCS, suggerendo di ruotare le credenziali il prima possibile.

Cosa è importante fare ora

In attesa di ulteriori conferme o smentite, è consigliabile per tutti gli amministratori e i responsabili della sicurezza:

  • Monitorare attentamente i propri sistemi per attività sospette.
  • Aggiornare regolarmente le password e implementare l’autenticazione multi-fattore (MFA).
  • Verificare se le proprie credenziali sono state compromesse utilizzando strumenti come quelli messi a disposizione da CloudSEK.

Ricordiamoci sempre che, in un mondo digitale in continua evoluzione, la prudenza non è mai troppa.

Luca Stivali
Cyber Security Enthusiast e imprenditore nel settore IT da 25 anni, esperto nella progettazione di reti e gestione di sistemi IT complessi. Passione per un approccio proattivo alla sicurezza informatica: capire come e da cosa proteggersi è fondamentale.

Lista degli articoli

Articoli in evidenza

Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware

Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle ...

Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione

Nel panorama delle minacce odierne, Defendnot rappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di a...

Falso Mito: Se uso una VPN, sono completamente al sicuro anche su reti WiFi Aperte e non sicure

Molti credono che l’utilizzo di una VPN garantisca una protezione totale durante la navigazione, anche su reti WiFi totalmente aperte e non sicure. Sebbene le VPN siano strumenti efficaci per c...

In Cina il CNVD premia i migliori ricercatori di sicurezza e la collaborazione tra istituzioni e aziende

Durante una conferenza nazionale dedicata alla sicurezza informatica, sono stati ufficialmente premiati enti, aziende e professionisti che nel 2024 hanno dato un contributo significativo al National I...

Quando l’MFA non basta! Abbiamo Violato il Login Multi-Fattore Per Capire Come Difenderci Meglio

Nel mondo della cybersecurity esiste una verità scomoda quanto inevitabile: per difendere davvero qualcosa, bisogna sapere come violarlo. L’autenticazione multi-fattore è una delle co...