Oracle enfrenta graves alegaciones de una violación de datos en sus servidores de inicio de sesión SSO federado de Oracle Cloud, a pesar de negar categóricamente el incidente. Según investigaciones realizadas por BleepingComputer, múltiples empresas confirmaron la autenticidad de muestras de datos compartidas por un supuesto hacker.
El caso salió a la luz la semana pasada, cuando un individuo afirmó haber comprometido los servidores de Oracle Cloud y comenzó a vender supuestos datos de autenticación y contraseñas cifradas de 6 millones de usuarios. El atacante también alegó que las contraseñas SSO y LDAP robadas podían descifrarse utilizando la información contenida en los archivos sustraídos.
A pesar de la negación categórica de Oracle sobre cualquier violación de sus sistemas, BleepingComputer recibió muestras adicionales de los datos filtrados y contactó a las empresas involucradas. Representantes de esas empresas, bajo condición de anonimato, confirmaron la autenticidad de la información, incluyendo nombres de visualización LDAP, direcciones de correo electrónico y otros datos de identificación.
El caso adquiere mayor relevancia con el descubrimiento de que el servidor "login.us2.oraclecloud.com" ejecutaba Oracle Fusion Middleware 11g hasta el 17 de febrero de 2025, una versión afectada por una vulnerabilidad conocida (CVE-2021-35587) que permitía a atacantes no autenticados comprometer Oracle Access Manager. Oracle ha dejado fuera de línea ese servidor desde entonces, pero no ha respondido a las múltiples solicitudes de aclaración realizadas por BleepingComputer.
Con información de BleepingComputer
Este post fue traducido y resumido a partir de su versión original con el uso de ChatGPT versión 4o, con revisión humana.