黑客声称访问了600万条云记录，但Oracle否认了违规指控。CloudSEK报告称，存在一个可能影响14万名租户的零日漏洞。

CloudSEK的XVigil平台最近进行的一项调查发现了针对Oracle Cloud的网络攻击，导致600万条记录被泄露，可能影响超过14万名租户。据报道，一名名为“rose87168”的威胁行为者实施了这次攻击，窃取了敏感数据，包括JKS文件、加密的SSO密码、密钥文件和企业管理器JPS密钥，这些数据目前正在Breach Forums和其他暗网论坛上出售。

攻击者自2025年1月起活跃，声称已经入侵了一个子域名login.us2.oraclecloud.com，该子域名现已被关闭。根据2025年2月17日的Wayback Machine捕获数据，该子域名托管着Oracle Fusion Middleware 11G。他们要求受影响的租户支付赎金以删除他们的数据，甚至还为帮助解密被盗的SSO和LDAP密码的人提供奖励。

CloudSEK的分析表明，威胁行为者可能已经破坏了Oracle云服务器的易受攻击的版本，可能利用了较旧的漏洞CVE-2021-35587，该漏洞会影响Oracle Fusion Middleware(OpenSSO Agent)，其中以下版本被确定为受影响的版本：
11.1.2.3.0
12.2.1.3.0
12.2.1.4.0

此CVE于2022年12月添加到CISA KEV目录中，允许未经身份验证的攻击者入侵Oracle Access Manager，从而可能导致完全接管。这与攻击者窃取和共享的数据类型一致。利用此漏洞，攻击者可以初步访问环境，然后在Oracle Cloud环境内横向移动以访问其他系统和数据。进一步调查显示，Oracle Fusion Middleware服务器上次更新时间约为2014年9月27日，表明软件已过时。

CloudSEK研究人员在独家分享的博客文章中指出：“由于缺乏补丁管理实践和/或不安全的编码，Oracle Fusion Middleware中的漏洞被威胁者利用。这个易于利用的漏洞允许未经身份验证的攻击者通过HTTP访问网络，从而破坏 Oracle Access Manager。”

然而，Oracle已发表声明否认其云基础设施遭到任何入侵。“Oracle Cloud并未遭到入侵。已发布的凭证不适用于Oracle Cloud。没有Oracle Cloud客户遭遇入侵或丢失任何数据，”Oracle在回应这些报道时表示。这与CloudSEK的调查结果和攻击者的说法直接矛盾。

尽管如此，如果发生这种情况，此次泄露的影响可能非常巨大，因为多达600万条记录的泄露会增加未经授权的访问和企业间谍活动的风险。JKS文件的泄露最令人担忧，因为这些文件包含加密密钥，可用于解密敏感数据或访问受影响组织内的其他系统。此外，加密的SSO和LDAP密码的泄露可能会导致Oracle Cloud环境中的进一步泄露。零日漏洞的使用也引发了人们对Oracle Cloud整体安全性的担忧。

CloudSEK建议立即轮换凭证、进行彻底的事件响应和取证、持续的威胁情报监控以及与Oracle Security合作进行验证和缓解。他们还建议加强访问控制以防止将来发生事件。