Récemment, Oracle, le géant américain des logiciels et des technologies de base de données, a été confronté à deux violations de données majeures, exposant les informations personnelles identifiables (PII) de milliers de clients.Le dernier rapport sur les violations de données, publié vendredi par Bleeping Computer, indique qu'Oracle Health (une entreprise de logiciels de soins de santé en tant que service que la société a acquise en 2022) a appris en février qu'un cybercriminel avait accédé à l'un de ses serveurs et s'était emparé de données de patients provenant d'hôpitaux américains. Selon Bleeping Computer, les clients d'Oracle Health ont reçu des notifications de violation imprimées sur du papier ordinaire plutôt que sur du papier à en-tête officiel d'Oracle et signées par Seema Verma, vice-présidente exécutive et directrice générale d'Oracle Health. Oracle Health, anciennement connu sous le nom de Cerner, est une société de logiciels en tant que service (SaaS) dans le domaine de la santé qui propose des dossiers médicaux électroniques (DME) et des systèmes d'opérations commerciales aux hôpitaux et aux organismes de santé. Après avoir été rachetée par Oracle en 2022, Cerner a été fusionnée avec Oracle Health, et ses systèmes ont migré vers Oracle Cloud.
Dans un avis envoyé aux clients concernés, Oracle Health a déclaré avoir pris connaissance d'une violation des serveurs de migration des données de Cerner le 20 février 2025.
« Nous vous écrivons pour vous informer que, le 20 février 2025 ou autour de cette date, nous avons eu connaissance d'un événement de cybersécurité impliquant un accès non autorisé à une partie de vos données Cerner qui se trouvaient sur un ancien serveur qui n'avait pas encore été migré vers Oracle Cloud », peut-on lire dans la notification envoyée aux clients concernés d'Oracle Health.
Oracle indique que le cybercriminel a utilisé les identifiants compromis du client pour pénétrer dans les serveurs quelque temps après le 22 janvier 2025, et a copié les données sur un serveur distant. Ces données volées « pourraient » avoir inclus des informations de patients provenant de dossiers médicaux électroniques.
Cependant, plusieurs sources ont indiqué qu'il a été confirmé que des données de patients ont été volées au cours de l'attaque.
L'autre rapport de violation de données a eu lieu il y a un peu plus d'une semaine, lorsqu'une personne anonyme utilisant le pseudonyme rose87168 a publié un échantillon de ce qu'elle a dit être 6 millions d'enregistrements de données d'authentification appartenant à des clients d'Oracle Cloud. Rose87168 a expliqué à Bleeping Computer qu'il avait acquis ces données un peu plus d'un mois auparavant après avoir exploité une vulnérabilité donnant accès à un serveur Oracle Cloud.
Les chercheurs d'entreprises de sécurité externes qui ont examiné les données fournies par rose87168 ont déclaré qu'elles semblaient authentiques. Les chercheurs de Cloudsek ont déclaré que l'entreprise « évalue cette menace avec un niveau de confiance moyen et la considère comme étant d'une gravité élevée ». Selon eux, plus de 140 000 locataires, c'est-à-dire des clients utilisant les services Oracle Cloud, ont été touchés.
Spider Labs de Trustwave, quant à lui, a déclaré que l'échantillon d'informations d'identification LDAP fourni par rose87168 « révèle une quantité substantielle de données IAM sensibles associées à un utilisateur au sein d'un environnement multi-tenant Oracle Cloud. Les données comprennent des informations personnelles identifiables (PII) et des attributions de rôles administratifs, indiquant un accès potentiel de grande valeur au sein du système de l'entreprise ».
Une faille exploitée en raison d'un « manque de pratiques de gestion des correctifs et/ou d'un codage non sécurisé »
Le cybercriminel affirme avoir compromis le sous-domaine login.us2.oraclecloud.com, qui aurait été supprimé depuis le piratage.
Capture d'écran du fichier texte téléchargé par l'acteur de la menace sur le point de terminaison login.us2.oraclecloud.com
Le sous-domaine a été capturé sur la Wayback Machine le 17 février 2025, ce qui suggère qu'il hébergeait Oracle fusion middleware 11G .
Capture d'écran de login.us2.oraclecloud.com sur wayback machine
Le serveur oracle fusion middleware, qui selon la fofa a été mis à jour pour la dernière fois vers le samedi 27 septembre 2014. Le middleware Oracle fusion avait une vulnérabilité critique CVE-2021-35587 qui affecte Oracle Access Manager (OpenSSO Agent). Cette vulnérabilité a été ajoutée à la liste CISA KEV (Known Exploited Vulnerabilities) le 2022 décembre.
CVE-2021-35587 : Vulnérabilité dans Oracle Access Manager (OpenSSO Agent)
Une vulnérabilité existe dans le composant Oracle Access Manager d'Oracle Fusion Middleware (OpenSSO Agent). Les versions concernées sont :
- 11.1.2.3.0
- 12.2.1.3.0
- 12.2.1.4.0
Cette vulnérabilité facilement exploitable permet à un attaquant non authentifié disposant d'un accès réseau via HTTP de compromettre Oracle Access Manager. Une exploitation réussie peut conduire à une prise de contrôle complète d'Oracle Access Manager.
*
Capture d'écran de fofa montrant le point de terminaison login.us2.oraclecloud.com
Le cybercriminel a affirmé à Bleeping Computer avoir compromis une version vulnérable des serveurs Oracle Cloud avec un CVE (faille) public qui n'a pas actuellement de PoC ou d'exploit public.
Comme nous pouvons le voir dans la capture d'écran susmentionnée, le point de connexion a été mis à jour pour la dernière fois en 2014 selon les résultats du FOFA. Par conséquent, Cloudsek a commencé à rechercher tout CVE plus ancien avec un impact élevé affectant la pile technologique. Au cours de ce processus, Cloudsek a trouvé une ancienne CVE affectant Oracle Fusion Middleware (CVE-2021-35587) qui n'a qu'un seul exploit public connu.
La vulnérabilité d'Oracle Fusion Middleware a été exploitée par le cybercriminel en raison d'un manque de pratiques de gestion des correctifs et/ou d'un codage non sécurisé. Cette vulnérabilité facilement exploitable permet à un attaquant non authentifié disposant d'un accès réseau via HTTP de compromettre Oracle Access Manager. Les attaques réussies de cette vulnérabilité peuvent aboutir à la prise de contrôle d'Oracle Access Manager (OAM). Cela correspond aux échantillons qui ont été divulgués sur Breachforums également.
Les implications pour la sécurité des données personnelles
L'exposition des informations personnelles identifiables (PII) de milliers de clients constitue une violation majeure des principes de confidentialité et de sécurité des données. Ces violations mettent en évidence les risques associés à la gestion des données sensibles dans le cloud, un domaine où Oracle occupe une place centrale en tant que fournisseur de services cloud. La fuite de données personnelles peut entraîner des conséquences graves pour les clients affectés, notamment des pertes financières dues à la fraude, des atteintes à la réputation et des implications légales pour les entreprises dont les informations ont été compromises.
Le Règlement Général sur la Protection des Données (RGPD) de l'Union Européenne, ainsi que d'autres l...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.