Une nouvelle inquiétante a émergé dans le monde de la cybersécurité, mettant en lumière un incident majeur que Oracle, l'une des plus grandes entreprises de logiciels au monde, aurait tenté de dissimuler. Selon des chercheurs en cybersécurité, Oracle aurait subi une fuite de données sérieuse qui a exposé des informations sensibles de ses clients. Alors que les cybercriminels sont maintenant en train de proposer ces données à la vente sur le dark web, Oracle persiste à nier toute attaque, malgré les conclusions des experts qui confirment la véracité de la fuite.Bien que de nombreux chercheurs aient signalé que la violation de données était très préoccupante, Oracle est resté silencieux depuis qu'il a nié l'attaque. Kevin Beaumont estime que le silence de l'entreprise est irresponsable. De même, Alon Gal a qualifié de « fou » le manque de transparence et de conseils d'Oracle. En l'absence de conseils de la part de l'entreprise, Gal a orienté les clients concernés vers les recommandations d'atténuation de CloudSEK afin de minimiser les dommages potentiels causés par la fuite.
Tout a commencé avec une série d'alertes émises par des experts en cybersécurité qui ont détecté des indices suggérant qu'Oracle avait été victime d'une grave violation de sécurité. Selon ces spécialistes, un groupe de hackers aurait accédé à une quantité considérable de données clients sensibles, y compris des informations d'identification, des données financières et des informations personnelles sur plusieurs comptes utilisateurs.
Les chercheurs ont trouvé des preuves que les hackers avaient non seulement accédé à ces informations, mais les avaient également mises en vente sur des forums de hacking et des marchés noirs en ligne. Une fois les données mises en circulation, la situation a pris une tournure inquiétante, avec de nombreuses entreprises et particuliers ayant potentiellement vu leurs informations compromises.
En fait, au début du mois de mars, un cybercriminel répondant au nom de Rose87168 a affirmé avoir pénétré dans les serveurs SSO fédérés d'Oracle Cloud et exfiltré environ 6 millions d'enregistrements, affectant plus de 144 000 clients d'Oracle. Le cybercriminel a fourni une liste de clients internes et a menacé de vendre les données à moins que les clients ne paient pour retirer leurs données du trésor, qui comprenait des identifiants de connexion unique, des mots de passe Lightweight Directory Access Protocol, des clés OAuth2, des données de locataire, et plus encore. Rose87168 a également sollicité l'aide de la communauté des hackers pour déchiffrer les mots de passe hachés en échange de certaines données.
Un jour après que le cybercriminel a publié un petit échantillon des données, Oracle a déclaré à Bleeping Computer qu'il n'y avait pas eu de violation de son service cloud. Après le démenti d'Oracle, Rose87168 a commencé à divulguer des « preuves » aux médias et aux chercheurs en sécurité. Le groupe de sécurité Hudson Rock et les experts de CloudSEK ont conclu que les données et les identifiants étaient légitimes.
CloudSEK a déclaré que le pirate semble avoir utilisé une vulnérabilité zero-day (CVE-2021-35587) dans un logiciel de gestion d'accès lié à Oracle Fusion Middleware pour pénétrer dans les systèmes Oracle Cloud sans authentification.
Trustwave SpiderLabs a également examiné les preuves et a conclu que les données provenaient bien des serveurs Oracle Cloud.
L'entreprise de sécurité a également confirmé que le cache comprenait des informations personnelles identifiables telles que les noms et prénoms, les noms d'affichage complets, les adresses électroniques, les titres de poste, les numéros de département, les numéros de téléphone, les numéros de téléphone portable et même les coordonnées du domicile. Le pirate a également téléchargé l'enregistrement d'une réunion interne d'Oracle.
« De telles données sous forme de fuite posent de graves risques de cybersécurité et opérationnels pour l'organisation concernée », a ajouté Trustwave.
En outre, le spécialiste de la cybersécurité Kevin Beaumont a noté qu'Oracle avait « rebaptisé » les anciens services Oracle Cloud en « Oracle Classic ». Il affirme que la formulation prudente de la réponse de l'entreprise est un démenti techniquement factuel mais fallacieux. L'entreprise semble essayer de situer l'incident comme étant insignifiant ou laissant entendre qu'il n'y a pas eu de fuite d'enregistrements actuels d'Oracle Cloud. Pour référence, voici la déclaration d'Oracle à Bleeping Computer :
« Il n'y a pas eu de violation d'Oracle Cloud. Les informations d'identification publiées ne concernent pas Oracle Cloud. Aucun client d'Oracle Cloud n'a été victime d'une violation ou n'a perdu de données ».
Beaumont a trouvé suspecte l'utilisation répétée « d'Oracle Cloud », comme si l'on voulait faire porter le chapeau à Oracle Classic. Toutefois, quel que soit l'âge des serveurs ayant fait l'objet de la violation, CloudSEK a confirmé, par l'intermédiaire de certains de ses clients, que les données étaient exactes et à jour. Cette conclusion réfute toute idée selon laquelle la brèche était insignifiante ou contenait des informations obsolètes.
Le silence d'Oracle face à la menace
Malgré les découvertes des chercheurs, Oracle a maintenu un silence notable sur l'incident. L'entreprise a d'abord rejeté les affirmations concernant la violation de ses systèmes, niant en bloc toute implication. Cependant, au fur et à mesure que les preuves de la fuite se sont accumulées et que des chercheurs en cybersécurité ont confirmé l'ampleur de l'attaque, la position d'Oracle est devenue de plus en plus difficile à soutenir.
Dans une déclaration officielle, Oracle a insisté sur le fait qu'il n'y avait aucune preuve d'une violation de ses systèmes et que les accusations étaient infondées. Pourtant, la communauté de chercheurs et d'experts en sécurité informatique a démontré que les données exposées étaient réelles et provenaient bien de serveurs Oracle.
« Oracle vient de démentir cette fuite, qui a été vérifiée indépendamment par de nombreuses entreprises de cybersécurité », a déclaré Alon Gal, directeur technique de Hudson Rock, sur LinkedIn lundi.
Envoyé par Alon GalSans qu'Oracle n'ait encore rien dit (où sont l'Agence pour la cybersécurité et la sécurité des infrastructures, la Security Exchange Commission et la Federal Trade Commission pour demander instamment que cela soit fait ?), Rose87168 indique passer à une nouvelle phase, potentiellement en vendant ou en divulguant les données. Oracle vient de nier cette fuite qui a été vérifiée indépendamment par de nombreuses entreprises de cybersécurité.
Compte tenu de l'absence de réponse d'Oracle et de l'absence de conseils immédiats de la part d'un organisme de réglementation, je conseille de suivre les conseils fournis par CloudSEK :
1) Rotation immédiate des informations d'identification : Changer tous les identifiants SSO, LDAP et associés, en s'assurant que les politiques de mot de passe sont fortes et que l'AMF est appliquée.
2) Réponse à l'incident et analyse judiciaire : Mener une enquête approfondie pour identifier les accès non autorisés potentiels et atténuer les risques supplémentaires.
3) Surveillance des renseignements sur les menaces : Suivre en permanence les forums du dark web et des acteurs de la menace pour détecter les discussions liées aux données ayant fait l'objet d'une fuite.
Compte tenu de l'absence de réponse d'Oracle et de l'absence de conseils immédiats de la part d'un organisme de réglementation, je conseille de suivre les conseils fournis par CloudSEK :
1) Rotation immédiate des informations d'identification : Changer tous les identifiants SSO, LDAP et associés, en s'assurant que les politiques de mot de passe sont fortes et que l'AMF est appliquée.
2) Réponse à l'incident et analyse judiciaire : Mener une enquête approfondie pour identifier les accès non autorisés potentiels et atténuer les risques supplémentaires.
3) Surveillance des renseignements sur les menaces : Suivre en permanence les forums du dark web et des acteurs de la menace pour détecter les discussions liées aux données ayant fait l'objet d'une fuite.
La fuite de données soulève des questions sérieuses sur la sécurité des clients d'Oracle. Si les informations sensibles des entreprises et des utilisateurs finaux sont désormais entre les mains de cybercriminels, les risques de fraude, de vol d'identité et d'autres types de cyberattaques sont considérablement augmentés.
Les entreprises ayant des contrats avec Oracle, notamment dans des secteurs tels que la finance, la santé, et les télécommunications, sont particulièrement vulnérables à cette situation. L'impact potentiel sur leur réputation et sur la confiance des clients est également significatif. De plus, l'incapacité d'Oracle à fournir des réponses claires et des mesures de protection adéquates pourrait entraîner une perte de confiance parmi ses utilisateurs, affectant ainsi ses affaires à long terme.
Les actions futures de la communauté de cybersécurité
[QUOTE=Trustwave SpiderLabs]L'ensemble de données décrit par les en-têtes fournis représente un répertoire d'utilisateurs très détaillé et sensible, probablement extrait d'un système de gestion des identités et des accès d'entreprise ou d'un répertoire intégré aux ressources humaines tel que Microsoft Active Directory, Oracle Identity Manager ou une plateforme similaire. La fuite de telles données présente de graves risques opérationnels et de cybersécurité pour l'organisation concernée.
L'ensemble des données comprend des IIP (informations d'identification personnelle), telles que les noms et prénoms, les noms d'affichage complets, les[/quote=trustwave spiderlabs]...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.